【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告

影响组件

Apache OFBiz < 18.12.11

Apache OFBiz >= 18.12.11

奇安信鹰图资产测绘平台数据显示，Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)，国内风险资产分布情况如下：

Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)全球风险资产分布情况如下：

目前官方已有可更新版本，建议受影响用户升级至：

Apache OFBiz >= 18.12.11

下载地址：https://ofbiz.apache.org/download.html

通用解决方案：

将产品部署在内网，限制外部访问，使用WAF过滤用户请求，阻止恶意请求。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)的防护。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.1228.14159或以上版本。规则ID及规则名称：0x10021961，Apache OFBiz远程代码执行漏洞(CVE-2023-51467)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信开源卫士已支持 

奇安信开源卫士20231228. 489版本已支持对Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)的检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7943，建议用户尽快升级检测规则库至2312282000以上。

Snort 检测方案

Snort是一个开源的入侵检测系统，使用规则来检测网络流量中的恶意行为。用户可参考以下Snort检测规则，进行Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)的检测：

alert tcp any any -> any any (msg:"CVE-2023-51467 Apache OFBiz 远程代码执行漏洞snort rule"; flow:to_server,established; content:"GET"; http_method; content:"/webtools/control/ProgramExport"; http_uri; content:"USERNAME="; http_uri; content:"&PASSWORD="; http_uri; content:"&requirePasswordChange=Y"; http_uri; rev:1; classtype:web-application-attack; sid:1000007;)

[1]https://ofbiz.apache.org/release-notes-18.12.11.html

[2]https://lists.apache.org/thread/9tmf9qyyhgh6m052rhz7lg9vxn390bdv

[3]https://blog.sonicwall.com/en-us/2023/12/sonicwall-discovers-critical-apache-ofbiz-zero-day-authbiz/

2023年12月29日，奇安信 CERT发布安全风险通告。