Apache OfBiz ERP 系统中存在严重 0day,可导致企业易受攻击

最新推荐文章于 2024-08-28 17:09:55 发布
最新推荐文章于 2024-08-28 17:09:55 发布
阅读量247 收藏
点赞数
文章标签: apache
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518521&idx=1&sn=1981e731d1738fca24d6f23367a2309a&chksm=ebc3940dbf873c3139e39f18c58765b2351a9a1f04a8ec9dcff6dbfe0b2a525cbc7e173623a1&scene=126&sessionid=0
版权

836eeedc7346f2f042d7e180df943cb3.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

开源的ERP 系统 Apache OfBiz 中存在一个严重的 0day 漏洞CVE-2023-51467,可用于绕过认证防护措施。

该漏洞位于登录功能中,是因为另外一个严重漏洞CVE-2023-49070的补丁不完整导致的,后者的CVSS评分为9.8,在本月初发布。

SonicWall Capture Labs 威胁研究团队发现了这个漏洞,并指出,“修复 CVE-2023-49070的安全措施未能处理根因,因此仍然存在认证绕过问题。”CVE-2023-49070是一个预认证的远程代码执行漏洞,影响18.12.10之前的版本。如遭成功利用,该漏洞可导致威胁行动者完全控制服务器并嗅探敏感数据,它是因为 Apache OFBiz 中遭弃用的 XML-RPC 组件引发的。

SonicWall 指出,CVE-2023-51467可通过HTTP请求中空的和不合法的USERNAME和PASSWORD 参数触发,返回认证成功消息,从而规避该防护措施并可导致威胁行动者越权访问内部资源。

该攻击利用参数 “requirePasswordChange” 在URL中被设置为 “Y”(即yes),导致不管用户名和密码字段中是否传递了这些值,都会导致认证遭绕过。NIST NVD对该漏洞的说明为,“该漏洞可使攻击者绕过认证,实现简单的SSRF”。

Apache OFBiz 用户应尽快升级至18.12.11或后续版本。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【已复现】Apache Struts 文件上传漏洞(CVE-2023-50164)安全风险通告第二次更新

Apache Superset 漏洞导致服务器易遭RCE攻击

Apache Ivy 注入漏洞可导致攻击者提取敏感数据

未修复的 Apache Tomcat 服务器传播 Mirai 僵尸网络恶意软件

Apache Jackrabbit 中存在严重的RCE漏洞

原文链接

https://thehackernews.com/2023/12/critical-zero-day-in-apache-ofbiz-erp.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

f520580d19fcf88c0f16f8c22dfb7a9d.jpeg

0a4fdc495c53d38156e7af633f5d924f.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   2a369e537c9ffdf503d95e8fb22f01b1.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
Apache OFBiz系统ProgramExport接口存在远程命令执行漏洞CVE-2024-38856 附POC
nnn2188185的博客
08-07 207
Apache OFBiz系统ProgramExport接口存在远程命令执行漏洞CVE-2024-38856 附POC
java开发erp源码下载-ofbiz:apacheofbiz的克隆
06-05
java开发erp源码下载项目前端:&& 更多文档 “大数据”文档:(很多有用的信息) 本地运行 ./deploy.sh 机器 转到:framework/entity/config/entityengine.xml 然后修改下面的字符串(不要把这个修改往上推) 运行...
开源ERP-apache-ofbiz-17.12.04.zip
07-18
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和业务应用。 Apache OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。开箱即用,自定义或将其用作框架来实现您最具挑战性的业务需求。使用 OFBiz ,您可以立即开始,而无需传统企业自动化系统的巨大部署和维护成本。随着业务的发展,您可以扩展功能以满足您更加复杂的需求。 Apache OFBiz 项目是 Apache 软件基金会的一部分。
开源ERP-apache-ofbiz-17.12.07.zip
05-31
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和业务应用。 Apache OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。开箱即用,自定义或将其用作框架来实现您最具挑战性的业务需求。使用 OFBiz ,您可以立即开始,而无需传统企业自动化系统的巨大部署和维护成本。随着业务的发展,您可以扩展功能以满足您更加复杂的需求。 Apache OFBiz 项目是 Apache 软件基金会的一部分。
守护安全无死角!OpenSSH CVE-2024-6387远程代码执行漏洞:深度解析与修复全攻略_openssh 漏洞
最新发布
zzz6583zz的博客
08-28 1242
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
基于OfbizERP Opentaps 1.5 安装
专注=效率
08-11 1898
第一步:mysql配置 进入%MYSQL_HOME%\bin目录,打开命令行并输入:mysql -u root -h localhost –p,提示输入root密码; 输入密码按回车; 用create database opentaps命令创建opentaps数据库 ; 用create user opentaps;命令创建名为opentaps的用户名; 用grant all privil
ofbiz erp 的整体方案设计
lijianhua1205的专栏,微信号 lijianhua1205
11-06 823
ofbiz erp 的整体方案设计 1 采购管理 采购计划 采购申请 采购订单 采购到货单 采购入库 2 销售管理 销售申请 销售订单 销售出库 销售发货 3 仓库管理 采购入库 销售出库 其他出入库 库存调拨 库存盘点 4 生产管理 设计bom 生产bom mrp运算 生产单 生产发料 生产退料 生产入库 5 财务管理 收款管理 付款管理 发票管理 财务凭证 财务接口 6...
Apache OFBiz企业流程自动化-其他
06-11
Apache OFBiz是用于企业流程自动化的开源产品,包括ERP企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
ApacheOFBiz企业流程自动化 v17.12.04
09-28
Apache OFBiz是用于企业流程自动化的开源产品,包括ERP企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
ofbiz erp的优势和注意点
lijianhua1205的专栏,微信号 lijianhua1205
11-13 500
ofbiz erp的优势和注意点 1 ofbiz的数据库设计基于世界最知名企业业务建模专家的最优秀的数据模型设计,覆盖了企业单体应用的全部细节 2 要是企业的核心功能是1千个需求点,平均功能是1千5百个需求点,所有企业的功能是6千个需求点,sap是实现了这其的5千个需求点,ofbiz是数据模型覆盖了全部6千个需求点,功能实现实现了最核心的1千个,所以sap实施是做减法,ofbiz...
ofbiz开发初学者指南(文版)
06-02
OFBiz(Apache Open For Business)是一个开源框架,设计为帮助构建企业资源计划(ERP)软件。ERP是任何致力于整合所有业务处理及后台数据到一个系统的一个统称。实际上,OFBiz框架不仅帮助构建自定义软件,还打包有许多可能在ERP系统期望的工具,以及更多。使用这些应用程序的扩展完全取决于你和业务的需求。一些业务直接选择使用这些组件的部分或全部。其它的可能花费一些时间和资金来定制组件或者构建新组件来满足他们的需求和独特的业务处理。自从OFBiz挂上Apache License Version 2.0这个招牌后,组织可完全免费使用、定制、扩展、修改、重新打包,甚至转售OFBiz
linux openssh 升级步骤
12-15
openssh升级相关软件安装包以及升级步骤txt,前言:linux openssh漏洞,为修复此漏洞,一般是升级是将openssh升级版本,此步骤为将openssh5.3升级到6.7 (下载地址:http://mirror.internode.on.net/pub/OpenBSD/OpenSSH/portable/openssh-6.7p1.tar.gz) 安装升级前,请确保以下前置条件:1.检查gcc和pam-devel是否安装,如没有安装,先进行安装 2.pam-devel包必须与系统的pam包版本一致 3.相关包zlib-1.2.3.tar.bz2,openssh-6.7p1.tar.gz,openssl-1.0.1m.tar.gz 4.所有安装包都放在/tmp/目录下
openssh 9.3p2 centos7.9 rpm升级包
08-06
解决如下漏洞 OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 安全漏洞(CVE-2023-38408) 升级方法,参见: 我的博客
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
smellycat000的专栏
03-23 175
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队上周五,Apache Software 基金会修复了 Apache OFBiz 的一个高危漏洞,本可导致未认证攻击者远程控制...
基于ofbiz的适合国工厂的大型制造业erp产品
lijianhua1205的专栏,微信号 lijianhua1205
10-02 1161
基于ofbiz的适合国工厂的大型制造业erp产品
Apache OFBiz 框架使用教程
gitblog_00084的博客
08-07 980
Apache OFBiz 框架使用教程 ofbiz-frameworkApache OFBiz is an open source product for the automation of enterprise processes. It includes framework components and business applications for ERP, CRM, E-Busine...
企业ERP系统 面临潜在威胁
m0_74288773的博客
05-18 248
目前没有好的办法来解决这样安全问题, 只能 下云、下云、下云、 重要的事说3遍,只有将ERP系统数据保留在公司内部然后再进行实时数据备份,这是目前最安全可靠的选择,将ERP系统安装在公司内部服务器上面运行,有效避免被网络机器人扫描,拒绝被入侵的风险。这样员工出差或外部访问将会受阻,因此为员工安全远程访问公司ERP系统可以使用 IBCS虚拟专线,打破地域、网络环境限制,保障企业内部应用的安全访问,使用IBCS虚拟专线优点是,本地数据比较安全,成本低。所以,在报表的导出权限上,我们要进行特殊的限制。
升级解决openssh漏洞
qq_39677803的博客
04-30 5823
【代码】升级解决openssh漏洞。
深入理解Ofbiz:MVC模式在企业信息系统的应用
"ofbiz文学习文档,涵盖了MVC模式的详细解释,旨在帮助初学者理解这一设计模式在企业信息系统的应用。文档介绍了MVC的理论描述和系统设计,强调了其在降低耦合度、提高可维护性方面的重要性。" 在深入学习OFBiz...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值