Apache OfBiz 反序列化命令执行漏洞

已于 2024-03-11 21:34:43 修改
阅读量54 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-11 21:34:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136635800
版权

简介

Apache OFBiz 是一个开源企业资源规划(ERP) 系统。 OFBiz 提供了一套企业应用程序,可以集成和自动化企业的许多业务流程。 OFBiz 是Apache 软件基金会的顶级项目。

漏洞描述

在Apache OFBiz 17.12.03版本及以前存在一处xMLRPC导致的反序列漏洞,官方于后续的版本中对相关接口进行加固修复漏洞,但修复方法存在绕过问题 (CVE-2023-49070),攻击者仍然可以利用反序列化漏洞在目标服务器中执行任意命令。

影响版本

Apache OFBiz < 18.12.10
Fofa:

app="Apache_OFBiz"

漏洞复现

使用

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
CVE-2021-26295 Apache OFBiz反序列化远程代码执行漏洞复现
afei001
04-01 621
目录 1.漏洞概述 2.漏洞原理 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 docker搭建漏洞环境 5.2 DNSlog验证CVE-2021-26295 5.3 CVE-2021-26295_Apache_OFBiz_POC.py 6.漏洞修复 1.漏洞概述 Apache OFBiz是一个非常著名的电子商务平台。它是用于企业流程自动化的开源产品。它包括用于ERP,CRM。构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统...
Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)
EC_Carrot的博客
07-18 292
漏洞复现 使用ysoserial的CommonsBeanutils1来生成Payload,使用命令生成base64的payload: java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/success" | base64 | tr -d "\n" 将base64的payload替换并发送以下数据包: POST /webtools/control/xmlrpc HTTP/1.1 Host: your-ip Content-Type: applicati
Apache Ofbiz-xmlrpc-反序列化漏洞(CVE-2023-49070)
看着博客敲代码
07-12 773
Apache OFBiz XML-RPC 反序列化漏洞 是由于 Apache OFBiz 在处理 XML-RPC 请求时存在不安全反序列化操作。攻击者可以绕过权限限制,访问/webtools/control/xmlrpc/接口触发反序列化
CVE-2021-25296 复现
YJ_12340的博客
01-10 312
代码中调用了 SafeObjectInputStream 对象的 readObject 进行反序列化,我们知道 SafeObjectInputStream 是重写后的 ObjectInputStream,在 ObjectInputStream 的基础上加了黑白名单过滤,我们来分析一下漏洞修复前的 SafeObjectInputStream 代码与修复后的差距,如下图所示。rmi 是 java 远程方法调用,它能让某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。危害:未授权远程命令执行
漏洞复现】Apache OFBiz远程代码执行漏洞(CVE-2023-51467)
weixin_45530380的博客
12-28 1429
【代码】【漏洞复现】Apache OFBiz远程代码执行漏洞(CVE-2023-51467)
Apache OFBiz rmi反序列化漏洞复现(CVE-2021-26295)
m0_48520508的博客
04-08 939
0x00简介 Apache OFBiz全称是The ApacheOpen For Business Project。是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新的J2EE/XML规范和技术标准,构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz几乎实现了所有的J2EE核心设计模式,各个模块之间的耦合比较松散,用户能够比较容易的根据自己的需要进行拆卸,非常灵活。 0x01漏洞概述 2021年3月22日 Apache OFBiz官方发
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
漏洞是由于OFBiz的XML-RPC端点未正确地处理反序列化,导致攻击者可以通过发送恶意的XML-RPC请求来执行恶意代码。 要搭建漏洞环境,需要使用Gradle进行debug调试,配置如下:debug启动程序后,访问...
Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)
0xSec
12-06 1850
2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生。尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1173
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞(CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
Apache OFBiz rmi反序列化漏洞(CVE-2021-26295)复现
玄道的网安博客
03-24 1318
简介 Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 影响版本 apache:ofbiz: <17.12.06 环境搭建 docker run -d -p 811:8080 -p 8443:8443 opensourceknight/ofbiz 漏洞复现 构建数据包 POST /webtools/control/SOAPService HTTP/1....
CVE-2021-26295 Apache OFBiz rmi反序列化 漏洞检测脚本
weixin_39811856的博客
03-28 1166
漏洞描述: Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2021年3月22日 Apache OFBiz官方发布安全更新,修复了一处由RMI反序列化造成的远程代码执行漏洞(CVE-2021-26295)。攻击者可构造恶意请求,触发反序列化,从而造成任意代码执行,控制服务器。 JMI解读: Java RMI服务是远程方法调用(Remote Method Invocation)。它是一种机制,能够让在某个java虚拟机..
CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析
爱国小白帽
09-29 2159
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-092902 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-29 0x01 漏洞简述 2020年09月29日, 360CERT对Apache ofbiz组件的反序列化漏洞进行了分析,该漏洞编号为 CVE-2020-9496,漏洞等级:高危,漏洞评分:8.0。 Apache ofbiz 存在 反序列化漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc
入门网络安全工程师要学习哪些内容
最新发布
白帽子佳奇的博客
10-10 1254
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全(黑客)自学
白帽子凯哥聊黑客
10-10 886
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
《网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 411
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
Apache OFBiz实战指南
本书包含了60多个简洁而实用的配方,覆盖了OFBiz的各个方面,适合对开源企业级业务自动化框架Apache OFBiz感兴趣的开发者和系统管理员阅读。 Apache OFBiz是一个强大的开源企业应用套件,它提供了全面的电子商务和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值