Apache OFBiz RCE漏洞复现(CVE-2023-51467)

已于 2023-12-28 18:35:54 修改
阅读量2.2k 收藏 11
点赞数 29
分类专栏: 漏洞复现 文章标签: apache 安全 web安全
于 2023-12-28 18:31:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/135275696
版权

0x01 产品简介

Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

0x02 漏洞概述

漏洞成因

该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,导致远程代码执行

漏洞影响

未授权访问和潜在的远程代码执行:此漏洞可能允许攻击者绕过安全限制,实现未授权访问和远程代码执行,严重时可能导致数据泄露、系统控制权被夺取。

0x03 影响范围

Apache Ofbiz < 18.12.11

0x04 复现环境

FOFA:

cert="Organizational Unit: Apache OFBiz" || (body="www.ofbiz.org" && body="/images/ofbiz_powered.gif") || header="Set-Cookie: OFBiz.Visitor" || banner="Set-Cookie: OFBiz.Visitor"

0x05 漏洞复现

PoC

POST /webtools/co
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 29
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
复现Apache OFBiz RCE漏洞(CVE-2023-51467)_03
fushuang333的博客
12-30 874
Apache OFBiz RCE漏洞。通过提交恶意构造的参数破坏命令语句结构,会执行恶意命令,甚至控制整个服务器。
OFBiz RCE漏洞复现CVE-2023-51467
柠檬i的博客
01-13 1095
Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。来自长亭科技的安全研究员枇杷哥利用这一点找到了另一个可以导致RCE的方法:Groovy表达式注入。这个漏洞的原因是对于。
漏洞复现--Apache OFBiz groovy RCECVE-2023-51467
qq_53003652的博客
12-30 548
Apache OFBizApache Open For Business)是一个开源的企业资源规划(ERP)系统和企业应用开发框架。它由Apache软件基金会开发和维护,提供了一套完整的工具和组件,用于构建和定制企业级应用。
【已复现Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告
smellycat000的专栏
01-03 635
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 远程代码执行漏洞漏洞编号QVD-2023-48721,CVE-2023-51467公开时间2023-12-27影响对象数量级万级奇安信评级高危CVSS 3.1分数9.8威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开危害描述:未授权的攻击者可以在目标服务器上执行任意...
Apache OFBiz groovy 远程代码执行漏洞CVE-2023-51467复现
fly夏天的博客
01-12 546
Apache OFBiz groovy 远程代码执行漏洞CVE-2023-51467复现
漏洞复现--Apache Ofbiz XML-RPC RCECVE-2023-49070)
qq_53003652的博客
12-07 1590
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
CVE-2021-26295-Apache-OFBiz:CVE-2021-26295 Apache OFBiz rmi反序列化POC
03-25
CVE-2021-26295-Apache-OFBiz CVE-2021-26295 Apache OFBiz rmi反序列化POC需要将ysoserial.jar放置在目录下,并且不能使用java的高版本
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
CVE-2020-9496 ofbiz反序列化漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
Apache OFBiz企业流程自动化-其他
06-11
Apache OFBiz是用于企业流程自动化的开源产品,包括ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
magento:Magento 与 Apache OFBiz 集成,兼容 OFBiz-13.07 和主干
07-08
Magento 与 Apache OFBiz 集成,兼容 OFBiz-13.07 和主干 在 Apache OFBiz-13.07 和 OFBiz 主干中使用磁电机组件的步骤 启动终端并进入 Apache OFBiz 的主目录 在热部署文件夹中签出 magento 组件 使用命令加载数据...
Apache ShardingSphere实战与核心源码剖析
在青海看海的企鹅的博客
06-10 865
Apache ShardingSphere实战与核心源码剖析 1.数据库架构演变与分库分表介绍 1.1 海量数据存储问题及解决方案 如今随着互联网的发展,数据的量级也是成指数的增长,从GB到TB到PB。对数据的各种操作也是愈加的困难,传统的关系性数据库已经无法满足快速查询与插入数据的需求。 阿里数据中心内景( 阿里、百度、腾讯这样的互联网巨头,数据量据说已经接近EB级) 使用NoSQL数据库, 通过降低数据的安全性,减少对事务的支持,减少对复杂查询的支持,来获取性能上的提升。 NoSQL并不是万能的
Apache Hadoop的核心组成及其架构
ningkangming的博客
06-11 1035
Hadoop=HDFS(分布式文件系统)+MapReduce(分布式计算框架)+Yarn(资源协调框架)+Common模块Hadoop 生态系统的这些组件共同提供了一个完整的大数据解决方案,使得用户可以在单一平台上进行数据存储、管理、处理和分析。
零基础直接上手java跨平台桌面程序,使用javafx(四)用Apache POI读取excel文件。
mrdzhu的博客
06-11 338
打开项目,点文件|项目结构|模块|依赖|1从JAR或目录,选中"D:\java\jdk\poi-bin-5.2.3"包括子目录的全部JAR文件,并且把前面的勾打上,点应用和确定。我是嫌麻烦,把子目录的全拷到上面了,所以显示的是46个文件。1、下载Apache POI,本来是个很简单的事情,但是也有坑。这也就是我一直不敢用java的原因之一,这些莫名其妙的坑,总是让人烦躁。我们打开官网,发现他已经不发编译好的包了,发的是源代码。亏好我眼尖,在最下方,有5.23的老版,可以用一下。也没多老,还能接受。
在Ubuntu20.04上安装Apache、MySQL和PHP的基本步骤
m0_64335844的博客
06-11 195
在浏览器中访问DVWA,通常是 http://localhost/dvwa/setup.php ,按照提示进行安装。然后访问 http://localhost/info.php 查看PHP信息页面。然后将index.php移到列表的开头,保存并退出。
JAVA开发 使用Apache PDFBox库生成PDF文件,绘制表格
最新发布
a_waste_only的博客
06-11 423
当我们使用Apache PDFBox库在PDF文件中创建带有表格的内容,需要遵循几个步骤。PDFBox本身并没有直接的API来创建表格,但我们可以通过定位文本、绘制线条和单元格矩形来模拟表格的创建。
Apache Pulsar 从入门到精通
weixin_38687619的博客
06-10 491
具有非常灵活的消息模型和直观的客户端 API。分布式发布-订阅消息平台。多租户、认证、授权、配额。Pulsar 是一个。
Apache Doris 基础 -- 数据表设计(分层存储)
chinusyan的专栏
06-11 808
Apache Doris 基础 -- 数据表设计(分层存储)
cve20201938漏洞复现
05-16
cve20201938漏洞是指微软Windows操作系统中的文件共享协议(SMBv3)存在安全漏洞,攻击者可以通过利用该漏洞,远程执行恶意代码,导致系统被攻击者完全控制。为了防止黑客攻击,我们需要复现漏洞并及时进行修复。 具体的复现步骤如下: Step 1: 搭建虚拟环境 先安装VMware或VirtualBox虚拟软件,然后下载Windows 10虚拟镜像文件,进行设置。为防止漏洞攻击,建议将防火墙规则全部打开。 Step 2: 下载漏洞利用工具 在漏洞复现前,需要先获取利用该漏洞的Exploit,目前已经有好几种漏洞利用程序可供下载。比如,一个名为“SMBGhost”的PoC Exploit,可以用于CVE-2020-0796漏洞的利用。 Step 3: 进行漏洞利用 运行准备好的漏洞利用程序,输入目标IP,进行漏洞攻击。利用成功后,可以获取被攻击系统的完全控制权限,进而获取需要的敏感信息。 Step 4: 进行修复 在复现漏洞后,及时进行修复,以免更严重的黑客攻击。 总的来说,漏洞复现对于保护系统安全非常重要,有助于及时发现漏洞并予以修复。希望我们大家都能重视系统安全,做好必要的防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值