Apache OFBiz系统ProgramExport接口存在远程命令执行漏洞CVE-2024-38856 附POC

最新推荐文章于 2024-09-10 16:09:28 发布
最新推荐文章于 2024-09-10 16:09:28 发布
阅读量177 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: apache 网络安全 web安全 网络 前端 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/140968971
版权

@[toc]

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. Apache OFBiz系统简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。

2.漏洞描述

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.14及之前版本存在安全漏洞,该漏洞源于存在授权错误漏洞,从而导致未经身份验证的端点可执行屏幕渲染代码。

CVE编号:CVE-2024-38856

CNNVD编号:CNNVD-202408-247

CNVD编号:

3.影响版本

Apache OFBiz 18.12.14及之前版本

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Apache Ofbiz 任意文件读取漏洞CVE-2023-50968)
weixin_43567873的博客
03-11 140
Apache Ofbiz 任意文件读取漏洞CVE-2023-50968)
CVE-2024-38856:Apace OFBiz 授权不当致远程代码执行漏洞复现 [POC]
薛定谔嘚喵博客
08-08 253
OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。Apace OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
Apache 中的新零日漏洞允许远程代码执行
w3cschools的博客
08-07 307
CVE-2024-38856 也是CVE-2024-36104的补丁绕过,CVE-2024-36104 是一个路径遍历漏洞,已于 6 月初随着 18.12.14 的发布而得到解决。际知名网络安全专家、东方联盟创始人郭盛华表示,该漏洞存在于覆盖视图功能中,该功能会将关键端点暴露给未经身份验证的威胁行为者,威胁行为者可以利用该漏洞通过特制的请求实现远程代码执行。2023 年 12 月,郭盛华还披露了同一款软件中当时的零日漏洞 (CVE-2023-51467),该漏洞可导致绕过身份验证保护。
Goby漏洞发布 | CVE-2024-38856 Apache OFbiz /ProgramExport 命令执行漏洞【已复现】
m0_46699477的博客
08-06 384
CVE-2024-38856Apache OFBiz在处理view视图渲染的时候存在逻辑缺陷,攻击者可通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码。
Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 1022
2024年8月,互联网上披露Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码的安全机制。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告
smellycat000的专栏
08-05 223
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 授权不当致代码执行漏洞漏洞编号QVD-2024-35284,CVE-2024-38856公开时间2024-08-04影响量级万级奇安信评级高危CVSS 3.1分数9.1威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开危害描述:该漏洞允许攻击者绕过身份验证执行任意代码...
如何利用 RASP 做好 Apache OFBiz 的 0day 漏洞防护?
weixin_55163056的博客
08-12 1162
CVE-2024-38856是一个错误授权漏洞,是因身份验证机制中存在缺陷而产生的漏洞Apache OFBiz在处理view视图渲染时存在逻辑缺陷,该漏洞允许未经身份验证的远程攻击者通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码,导致数据泄露、服务中断或恶意代码执行等。安全研究人员在分析CVE-2024-36104的修补过程中发现了CVE-2024-38856这一新的漏洞
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)
0xSec
09-06 548
2024年9月,互联网上披露了Apache OFBiz 远程代码执行漏洞(CVE-2024-45195),该漏洞允许未经身份验证的远程攻击者通过SSRF漏洞控制请求从而写入恶意文件。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz 路径遍历导致RCE漏洞复现(CVE-2024-36104)
0xSec
06-04 1957
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。
Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
FreeBuf_的博客
08-06 656
近日,研究人员发现 Apache OFBiz存在一个新的关键漏洞,该漏洞Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道:如果满足某些先决条件,如屏幕定义没有明确检查用户的权限,因为它们依赖于终端的配置,那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。该问题源于身份验证机制中的一个漏洞,它允许未经身份验证的用户访问通常仅限已登录用户使用的功能,从而可能导致远程代码执行
HW漏洞威胁情报第十五天|HW情报
weixin_43167326的博客
08-08 1156
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
信也科技基于 Apache SeaTunnel金融场景的应用实践探索
weixin_54625990的博客
09-05 1284
作者:朱俊,信也科技,数据开发专家离线开发一直是数据仓库建设中重要的一个环节。信也科技之前基于Azkaban构建了离线任务调度与开发平台,承载了公司90%以上的离线任务调度需求,以及玄策变量平台的每日变量跑批产出任务。随着时间的积累,任务量级越来越大,Azkaban难以运维与二次开发等问题日渐凸显,给技术同学带来不小的负担。从2023年下半年开始,借助内部创新项目的机会,开展了调度系统引擎升级的项目立项与调研,希望在新调度系统的基础上,进一步规范任务开发流程,提高运维效率,简化全链路血缘。
部署Apache网站
qq_45496140的博客
09-06 849
3.调整apache服务器主文件的配置,在该文件中我们要进行Listen#ServerName#DocumentRoot的配置。这个页面出来了,说明lamp的大环境是没错的,已经搭出来了。2.创建文件编写php网页代码。
APACHE-ATLAS-2.1.0 - 基础运维
记录并分享
09-10 588
(一)SOLR相关 1. 如何创建/删除集合? # 1. 删除 solr/bin/solr delete -c vertex_index solr/bin/solr delete -c edge_index solr/bin/solr delete -c fulltext_index # 2. 创建 solr/bin/solr create -c vertex_index -force -d conf/solr/ solr/bin/solr create -c edge_index -force -d c
JAVA 的excel数据批量导入解析 现在都用什么API工具 Apache POI 、EasyExcel 、easypoi有什么区别
最新发布
qq_39666711的博客
09-10 496
对于大多数需要处理Excel数据批量导入的场景,如果数据量不是特别大,且对性能要求不是特别高,EasyPoi和EasyExcel都是不错的选择。它们都能提供简单易用的API,并且能够很好地满足Excel数据导入的需求。如果数据量非常大,或者对性能有极高要求,那么推荐使用EasyExcel,因为它在处理大量数据时具有更好的性能和更低的内存占用。POI、EasyExcel和EasyPoi。这些工具各有特点,适用于不同的场景和需求。在Java中,处理Excel数据批量导入解析时,常用的API工具有Apache
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8455
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1648
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
CVE-2020-9496
08-31
CVE-2020-9496是Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值