Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)

已于 2024-08-10 15:35:26 修改
阅读量1k 收藏
点赞数 2
分类专栏: 漏洞复现 文章标签: apache 安全 web安全
于 2024-08-05 23:08:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140939013
版权

0x01 产品简介

Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

0x02 漏洞概述

2024年8月,互联网上披露了Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856),该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。

secureCertDateTime|view|main|checkLogin|ajaxCheckLogin|login|forgotPassword|forgotPasswordReset|ListLoc
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Apache OFBiz系统ProgramExport接口存在远程命令执行漏洞CVE-2024-38856 附POC
nnn2188185的博客
08-07 175
Apache OFBiz系统ProgramExport接口存在远程命令执行漏洞CVE-2024-38856 附POC
【已复现】Apache OFBiz 授权不当代码执行漏洞(CVE-2024-38856)安全风险通告
smellycat000的专栏
08-05 217
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 授权不当代码执行漏洞漏洞编号QVD-2024-35284,CVE-2024-38856公开时间2024-08-04影响量级万级奇安信评级高危CVSS 3.1分数9.1威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开危害描述:该漏洞允许攻击者绕过身份验证执行任意代码...
apacheOfbiz
weixin_34290390的博客
08-29 113
一、ofbiz 用自身数据库安装 1. 由 binary 安装: 由 binary 安装非常简单, 以下是安装方法: 下载ofbiz-2.0-beta1-complete.tar.gz, 注意不是ofbiz-2.0-beta1.tar.gz. tar xvzf ofbiz-2.0.beta1-complete.tar.gz cd tomcat/bin ./ofbiz.sh start gal...
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1158
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
CVE-2024-38856:Apace OFBiz 授权不当远程代码执行漏洞复现 [附POC]
薛定谔嘚喵博客
08-08 250
OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。Apace OFBiz 授权不当远程代码执行漏洞(CVE-2024-38856)
Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
FreeBuf_的博客
08-06 653
近日,研究人员发现 Apache OFBiz 中存在一个新的关键漏洞,该漏洞Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道:如果满足某些先决条件,如屏幕定义没有明确检查用户的权限,因为它们依赖于终端的配置,那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。该问题源于身份验证机制中的一个漏洞,它允许未经身份验证的用户访问通常仅限已登录用户使用的功能,从而可能导致远程代码执行
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)
最新发布
0xSec
09-06 474
2024年9月,互联网上披露了Apache OFBiz 远程代码执行漏洞(CVE-2024-45195),该漏洞允许未经身份验证的远程攻击者通过SSRF漏洞控制请求从而写入恶意文件。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz 路径遍历导致RCE漏洞复现(CVE-2024-36104)
0xSec
06-04 1953
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。
CVE-2021-26295 Apache OFBiz反序列化远程代码执行漏洞复现
afei001
04-01 597
目录 1.漏洞概述 2.漏洞原理 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 docker搭建漏洞环境 5.2 DNSlog验证CVE-2021-26295 5.3 CVE-2021-26295_Apache_OFBiz_POC.py 6.漏洞修复 1.漏洞概述 Apache OFBiz是一个非常著名的电子商务平台。它是用于企业流程自动化的开源产品。它包括用于ERP,CRM。构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统...
Apache OFBiz E-Business Solutions.pdf
02-04
Apache OFBiz E-Business Solutions.pdf 一千多页,OFBiz 9.04
ofbizApache OFBiz-主要开发已移至ofbiz-frameworks存储库
02-03
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 有关OFBiz的更多详细信息,请访问OFBiz文档页面: 系统要求 运行OFBiz的唯一要求是在系统上安装Java Development Kit(JDK)版本8(不仅是JRE,而且是完整的JDK),您可以从下面的链接下载该版本。 注意:如果使用的是Eclipse,请确保在Eclipse中创建项目之前运行适当的Eclipse命令gradlew eclipse 。 该命令将
apache-ofbiz-16.11.02源码+ofbiz菜鸟笔记+Apache+OFBiz+开发初学者指南
09-14
apache-ofbiz-16.11.02.zip,ofbiz菜鸟笔记,Apache+OFBiz+开发初学者指南.chm
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1144
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
漏洞复现】Apache OFBiz 路径遍历导致RCE漏洞(CVE-2024-36104)
qq_67810151的博客
06-07 542
Apache OFBiz是一个功能强大、易于定制和扩展的开源ERP系统,适用于各种类型的企业。通过利用最新的技术标准和开源项目,Apache OFBiz为企业提供了一个高效、稳定、灵活的电子商务平台解决方案。
【复现】Apache OFBiz RCE漏洞(CVE-2023-51467)_03
fushuang333的博客
12-30 910
Apache OFBiz RCE漏洞。通过提交恶意构造的参数破坏命令语句结构,会执行恶意命令,甚至控制整个服务器。
Apache OFBiz远程代码执行漏洞通告
爱国小白帽
05-01 621
报告编号:B6-2021-042801 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-28 1 漏洞简述 2021年04月28日,360CERT监测发现Apache OFBiz发布了漏洞风险通告,共包含2个漏洞漏洞编号分别为CVE-2021-29200,CVE-2021-30128,漏洞等级:严重,漏洞评分:9.8。 OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子
apache OFBiz 电子商务平台
左左春秋
02-16 418
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 OFBiz 已经正式成为...
CVE-2020-9496
08-31
CVE-2020-9496是Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值