文章目录
Apache Ofbiz XML-RPC 远程命令执行漏洞复现(CVE-2023-49070) [附POC]
0x01 前言
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!
0x02 漏洞描述
Apache OFBiz是一个基于Java语言开发的开源企业资源规划(ERP)系统和电子商务平台。提供客户关系管理(CRM)、供应链管理(SCM)、产品生命周期管理(PLM)、物料需求规划(MRP)等企业管理功能,帮助组织管理他们的业务流程、提高效率并降低成本,还可以根据企业的需求进行定制和扩展。
由于Apache OFBiz XML-RPC存在历史的反序列化漏洞(CVE-2020-9496)(未修复,XML-RPC官方不再维护),未经身份验证的恶意攻击者通过构造特殊请求,成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。
0x03 影响版本
Apache Ofbiz < 18.12.10