Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)

已于 2023-12-07 00:27:58 修改
阅读量1.8k 收藏 10
点赞数 12
分类专栏: 漏洞复现 文章标签: xml rpc web安全 安全
于 2023-12-06 23:22:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/134843346
版权
本文详细介绍了Apache OFBiz的CVE-2023-49070漏洞,包括漏洞成因、利用特征、影响范围和复现过程。攻击者可以利用此漏洞进行远程代码执行,影响数据安全和业务连续性。建议受影响的用户禁用XML-RPC接口或升级到18.12.10及以上版本。
摘要由CSDN通过智能技术生成

0x01 产品简介

 Apache OFBiz是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。

0x02 漏洞概述

漏洞成因

2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生。尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。

利用特征

流量分析:攻击者利用这个漏洞时,会发送包含用户名和密码的 HTTP 请求到 XML-RPC 接口。在网络流量中,这可能表现为对 /webtools/control/xmlrpc 的异常访问请求。

异常请求内容:利用 Filter 绕过机制的请求可能包含不寻常的 URI 结构,如使用分号或路径穿越技术(../)。

特定的错误日志:在尝试进行反序列化攻击时,可能会在日志中观察到相关错误或异常信息,尤其是与 XML-RPC 组件相关的。

漏洞影响

远程代码执行风险:这个漏洞允许未授权的攻击者在服务器上执行任意代码,这可能导致数据泄露、系统被勒索或控制权被夺取等严重的安全威胁。

数据安全和业务连续性:由于 Apache OFBiz 通常用于管理关键业务流程

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 12
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
漏洞复现--Apache Ofbiz XML-RPC RCECVE-2023-49070
qq_53003652的博客
12-07 1809
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 1689
CVE-2023-49070 漏洞复现
Vulhub Supervisord 远程命令执行漏洞复现
weixin_53696027的博客
06-07 274
Vulhub Supervisord 远程命令执行漏洞复现
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
Shadow_DAI_990101的博客
08-23 2336
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
Supervisord 远程命令执行漏洞CVE-2017-11610)
EC_Carrot的博客
08-17 730
漏洞简介 Supervisor是一套进程控制系统,用于监视和控制类Unix系统上的进程。XML-RPC server是其中的一个XML-RPC服务器。 Supervisor中的XML-RPC服务器存在安全漏洞。远程攻击者可借助特制的XML-RPC请求利用该漏洞执行任意命令。 影响范围 3.0.1之前的版本 3.1.4之前的3.1.x版本 3.2.4之前的3.2.x版本 3.3.3之前的3.3.x版本 漏洞复现 发送以下数据包即可执行任意命令: POST /RPC2 HTTP/1.1 Host: loca
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
apache-ofbiz-13.07.02.zip
08-14
apache-ofbiz-13.07.02.zip
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
POC id是CVE-2020-9496,info是Apache OFBiz XML-RPC Java Deserialization,author是dwisiswant0,severity是medium。该POC检测了OFBizXML-RPC端点的反序列化漏洞,该漏洞影响所有低于17.12.04版本的OFBiz系统。 ...
ofbizApache OFBiz-主要开发已移至ofbiz-frameworks存储库
02-03
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 ...
apache-ofbiz-16.11.02源码+ofbiz菜鸟笔记+Apache+OFBiz+开发初学者指南
09-14
apache-ofbiz-16.11.02.zip,ofbiz菜鸟笔记,Apache+OFBiz+开发初学者指南.chm
WordPress XMLRPC安全漏洞
maverickpig的博客
01-23 4694
wordpress xmlrpc安全漏洞
F2blog XMLRPC 上传任意文件漏洞
广外女生官方BLOG
09-11 928
 存在漏洞文件:xmlrpc.php,影响:可上传任意文件到服务器。原理:get_http_raw_post_data()是获取最原始的传递过来的数据,也是说不会因为PHP环境的magic为on的影响。而他在check_user_pw的时候,并没有过滤,结合后面的上传没有做后缀判断,所有可以直接导致上传任意文件到服务器。简单分析: function metaWeblog_newMediaO
wordpress博客遇到的那些坑(一)xmlrpc漏洞
weixin_33897722的博客
10-23 3017
2019独角兽企业重金招聘Python工程师标准>>> ...
教你用RPC漏洞入侵并打造完美后门
热门推荐
wyhwlls的专栏
08-12 1万+
<br /><br />防御办法: 安装rpc补丁 <br />使用防火墙过滤135,445,139等端口 <br /> RPC漏洞入侵并打造完美后门! <br /> 现在网上很流行dcomrpc,哈哈,那好就说说利用dcomrpc入侵。和入侵之后做的事情  。<br />需要的工具: <br />很好的: radmin.exe  <br />扫描工具: retinarpcdcom.exe  <br />溢出攻击工具:RpcDcom(通用溢出工具)  <br />脚本开启telnet工具:telnet.vb
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析
smellycat000的专栏
12-23 1316
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介相关的重点类和方法:org.apache.xmlrpc.parser.Serializabl...
phpstudy php_xmlrpc.dll后门漏洞复现
https://www.cnblogs.com/zpchcbd/
09-26 7172
搭建环境: phpstudy2018 php版本5.4 漏洞影响版本:5.2/5.4 漏洞利用 1、随便访问一个存在的php文件 我这里就访问index.php好了 2、进行index.php 进行抓包 再自行添加两个字段payload 执行系统命令 Accept-Charset: ZWNobyBzeXN0ZW0oJ3dob2FtaScpOw== Accept-Encoding: gzip,def...
Golang 中的 XML 魔法:encoding/xml 包的精妙运用
2401_85342379的博客
08-14 788
XML(eXtensible Markup Language)因其结构化的自描述性,被广泛应用于配置文件、数据交换等领域。Go 语言的包提供了一套完整的 API,支持 XML 的编码(序列化)和解码(反序列化)操作。在某些情况下,我们可能需要对生成的 XML 进行格式化或处理 XML 命名空间。函数可用于生成格式化的 XML 数据,而 XML 名称空间的处理则需要在结构体标签中指定。
vtk xml非结构网格数据ascii 与 binary
最新发布
计算机辅助工程
08-15 383
注意,vtkUnstructuredGridWriter和vtkXMLUnstructuredGridWriter是为了兼容旧版本的VTK,新版本推荐使用vtkXMLUnstructuredGridWriter。在这个例子中,我们创建了一个非结构化网格对象,然后使用vtkUnstructuredGridWriter和vtkXMLUnstructuredGridWriter分别以ASCII和Binary格式写入文件。读取时使用vtkXMLUnstructuredGridReader。
如何在 Odoo 16 中覆盖创建、写入和取消链接方法
weixin_62077901的博客
08-14 531
重写 Odoo 16 中的创建、写入和取消链接方法是自定义 Odoo 模块行为的有效方法,无需修改核心代码。这些方法允许您拦截和定制模型中记录的创建、更新和删除,以满足特定的业务需求。在重写 create 方法时,我们可以在方法内部添加我们的逻辑。在我们的例子中,将合作伙伴的名称大写。如果满足条件,它将引发一个 UserError,并显示一条消息,表明合作伙伴也是供应商,并且我们会阻止创建销售订单。让我们检查一个覆盖“sale.order”模型的创建方法的例子,如果合作伙伴也是供应商,则显示用户错误。
CVE-2020-9496
08-31
CVE-2020-9496是Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值