漏洞描述:
Apache OFBiz是一个开源的企业资源计划系统,OFBiz支持运行Groovy代码用于编程导出数据,在18.12.13之前的版本中,ControlFilter类针对URL路径限制不当导致攻击者可绕过权限控制访问后台/webtools/control/ProgramExport接口,进而利用编程导出功能,通过执行Groovy代码获取机器权限。
影响范围:
ofbiz(-∞, 18.12.13)
修复方案:
在Web服务器中禁止/webtools/control/ProgramExport路径访问
参考链接:
https://issues.apache.org/jira/browse/OFBIZ-13006
https://lists.apache.org/thread/w6s60okgkxp2th1sr8vx0ndmgk68fqrd
https://ofbiz.apache.org/download.html
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache OFBiz 目录遍历导致RCE漏洞CVE-2024-32113
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论