Apache 修复严重的 OFBiz 远程代码执行漏洞

于 2024-09-06 17:02:03 发布
阅读量1 收藏
点赞数
文章标签: apache
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520714&idx=2&sn=a3784b5b2245f1449edaefa3064d676f&chksm=eba910917e32c2e672ba0336d41d09847d3ea03aed543e6bf2423d050c2ebedce9e4326aaab2&scene=126&sessionid=0
版权

f4bbc8044197c8bced5069910a063d67.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache 修复了 OFBiz 软件中的一个严重漏洞,可导致攻击者在易受攻击的 Linux 和 Windows 服务器上执行任意代码。

OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件,可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159,由 Rapid7 安全研究员发现,是由一个强制浏览弱点造成的远程代码执行漏洞,该弱点可将受限制的路径暴露于未认证直接请求攻击。

安全研究员 Ryan Emmons 在本周四的一份报告中提到,“无有效凭据的攻击者可利用 web 应用中缺失的视图授权检查,在服务器上执行任意代码。”Apache 安全团队在18.12.16版本中增加了授权检查,从而修复了该漏洞。建议 OFBiz 用户尽快升级安装以拦截潜在攻击活动。

d00f22098131d18d1e97a3087a13c918.gif

此前的安全补丁遭绕过

abbb2149498e1a3bd5013c81335c2186.png

正如 Emmons 今天进一步解释的那样,CVE-2024-45159是对其它三个 OFBiz 漏洞补丁的绕过,这三个漏洞早在今年年初就已修复,它们是CVE-2024-32113、CVE-2024-36104和CVE-2024-38856。

Emmons 表示,“从分析来看,三个漏洞实际上是由同一个根原因引发的同样的漏洞。”所有这三个漏洞都是由控制器-视图映射分段问题造成的,该问题可导致攻击者执行代码或SQL查询,并在未认证的前提下实现远程代码执行。

8月初,CISA提醒称,5月修复的CVE-2024-32113正在遭利用,而距离 SonicWall 研究员发布CVE-2024-38856预认证RCE漏洞的详情才过去几天。CISA还将另外两个漏洞纳入必修清单,要求联邦机构在三周内按照2021年11月发布的BOD22-01指令将其修复。尽管BOD22-01仅适用于联邦民事行政部门(FCEB),但CISA 督促所有组织机构优先修复这些漏洞,以阻止针对其网络的攻击。12月,攻击者开始利用另外一个OFBiz 预认证RCE漏洞CVE-2023-49070来查找易受攻击的 Confluence 服务器。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告

Apache 修复 Apache HTTP Server 中的源代码泄露漏洞

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

Apache 项目中存在依赖混淆漏洞

【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告

原文链接

https://www.bleepingcomputer.com/news/security/apache-fixes-critical-ofbiz-remote-code-execution-vulnerability/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

a642fb513bebe436917a633b47f85fd8.jpeg

1c35793980e8e129e16a036a26e7b8d4.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   929a81483d2b44dfc2eb8173c7c2702b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 960
2024年8月,互联网上披露Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码的安全机制。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)
最新发布
0xSec
09-06 109
2024年9月,互联网上披露了Apache OFBiz 远程代码执行漏洞(CVE-2024-45195),该漏洞允许未经身份验证的远程攻击者通过SSRF漏洞控制请求从而写入恶意文件。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz远程代码执行漏洞(CVE-2023-51467)
Keepb1ue的博客
12-28 858
该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,存在漏洞可能导致不安全的代码执行,增加了系统安全性的风险。未授权访问和潜在的远程代码执行:此漏洞可能允许攻击者绕过安全限制,实现未授权访问和远程代码执行严重时可能导致数据泄露、系统控制权被夺取。Apache官方已发布安全更新
漏洞复现】Apache OFBiz 授权不当致远程代码执行
今天是几号的博客
08-06 681
攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。Apache OFBiz 是一个开源的企业资源计划 (ERP) 和客户关系管理 (CRM) 软件平台,提供全面的企业管理解决方案,包括电子商务、库存管理、制造、会计等功能,支持企业进行灵活的定制和扩展。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
漏洞复现-Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)
玄道的网安博客
08-11 463
Apache XML-RPC 是 XML-RPC 的 Java 实现,XML-RPC 是一种使用 XML over HTTP 来实现远程过程调用的协议。USERNAME=&PASSWORD=s&requirePasswordChange=Y绕过针对/control/xmlrpc的接口过滤限制(CVE-2020-9496),从而使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。所以,只要我们在发送XML-RPC请求的时候,将。这个补丁的作用是为XML-RPC的接口增加鉴权。
漏洞情报 | Apache OFBiz 远程代码执行漏洞
爱国小白帽
03-22 472
0x01 漏洞描述 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 近日,360漏洞云监测到Apache OFBiz官方披露了Apache OFBiz远程代码执行漏洞的安全通告,该漏洞出现在ofbiz/base/util/SafeObjectInputStream.java中,该功能为框架中的通用序列化处理类,未经身份验证的攻击者可构造恶意请求.
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1683
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
CVE-2021-26295 Apache OFBiz反序列化远程代码执行漏洞复现
afei001
04-01 595
目录 1.漏洞概述 2.漏洞原理 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 docker搭建漏洞环境 5.2 DNSlog验证CVE-2021-26295 5.3 CVE-2021-26295_Apache_OFBiz_POC.py 6.漏洞修复 1.漏洞概述 Apache OFBiz是一个非常著名的电子商务平台。它是用于企业流程自动化的开源产品。它包括用于ERP,CRM。构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统...
漏洞复现】Apache-OFBiz xmlrpc远程代码执行漏洞CVE-2023-49070
失心少年
01-13 152
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!Apache-OFBiz xmlrpc远程代码执行漏洞,Apache OFBizApache基金会的一套企业资源计划(ERP)系统。攻击者可以通过在受攻击系统上执行恶意命令,从而获取未授权的系统访问权限。
Apache CloudStack Official Document 翻译节选(十三)
UsamaBinLaden6976498的专栏
09-02 1458
快速部署一朵 Apache CloudStack 云 (二)部署一朵pache CloudStack 云。
7-8月月报 | Apache SeaTunnel社区进展一览
weixin_54625990的博客
09-03 929
各位热爱 Apache SeaTunnel 的小伙伴们,社区 7-8 月份月报来啦!这两个月项目有了哪些进展?又有谁登上了我们社区的贡献者榜单呢?快来一睹为快吧。
Apache POl的使用(导出报表)
a2547724092的博客
09-03 506
Apache POl是一个处理Miscrosoft Office各种文件格式的开源项目。简单来说就是,我们可以使用 PO!在 Java 程序中对Miscrosoft Office各种文件进行读写操作。一般情况下,POI都是用于操作 Excel 文件。银行网银系统导出交易明细各种业务系统导出Excel报表批量导入业务数据导入maven坐标-- poi -->写操作/*** 通过POI创建Excle文件*/@Test//在内存中创建一个excle文件。
兼容Trino Connector,扩展Apache Doris数据源接入能力|Lakehouse 使用手册(四)
SelectDB
09-06 994
Apache Doris 内置支持包括 Hive、、LakeSoul、JDBC 在内的多种 Catalog,并为其提供原生高性能且稳定的访问能力,以满足与数据湖的集成需求。而随着 Apache Doris 用户的增加,新的数据源连接需求也随之增加。因此,Trino/Presto 作为业界较早应用于湖仓查询、联邦分析的计算引擎,以广泛的数据源对接能力闻名。
知识付费最新版知识付费做的最好的平台,网创资源知识付费 知识付费网站搭建,搭建知识付费APP平台教学:在线教育系统源码。
m0_73984942的博客
09-06 505
知识付费系统
StarRocks Lakehouse 快速入门——Apache Iceberg
StarRocks的博客
09-06 956
Apache Iceberg 是一种为大规模、复杂数据集设计的开源表格式,这些数据集跨越了 PB 级别的数据。最初作为 Netflix 管理海量表的解决方案,于 2018 年在 Apache 孵化器下开源,并在 2020 年毕业。Apache Iceberg 作为一种复杂的开放表格式,位于计算引擎(如 Flink 和 Spark)和存储格式(如 ORC、Parquet 和 Avro)之间。它作为一个中间件层,抽象了底层数据存储格式的复杂性,并向计算框架上层提供了统一的表格语义。
Apache Storm:入门了解
布说在见的博客
09-03 920
Storm 是一个开源的分布式实时计算系统,它能够处理无边界的数据流,类似于 Hadoop 对于批量数据处理的作用,但是 Storm 更侧重于实时数据流的处理。
Apache Ignite 在处理大规模数据时有哪些优势和局限性?
weixin_44203221的博客
09-04 601
综上所述,Apache Ignite 在处理大规模数据时提供了显著的性能优势,但也需要合理规划和配置,以避免资源分配不当、数据分区策略不当等问题。需要优化事务边界,减少不必要的事务范围,并利用 Ignite 的事务隔离级别和并发控制机制,平衡性能与数据一致性。:Ignite 利用内存计算的优势,实现了极高的读写性能,通过分布式架构,它可以将数据分散到多个节点上,从而实现了并行处理和负载均衡。:除了内存存储外,Ignite 还支持将数据持久化到磁盘,从而保证了数据的可靠性和持久性。
小程序多个set-cookie无法处理
lics的博客
09-04 333
项目中遇到一个问题,客户的服务器上了华为云的防火墙,导致小程序请求头中携带了3个set- cookie(有两个是华为云给自动加的),而小程序端不知道用哪个来 处理,结果选了个错误的进行处理,就导致获取不到正确的身份。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值