Apache OFBiz服务端请求伪造漏洞(CVE-2024-45507)
组件名称:
Apache-ofbiz
影响范围:
Apache OFBiz < 18.12.16
漏洞类型:
服务器端伪造请求(SSRF)
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,能造成远程代码执行。
<综合评定威胁等级>:高危,能造成远程代码执行。
官方解决方案:
已发布
Apache OFBiz 存在服务器请求伪造致RCE漏洞。受影响版本中,由于 GroovyUtil、ScriptUtil 和 ScreenFactory 类未对加载的资源路径进行有效校验,攻击者可以通过传入URL加载远程的Groovy 脚本和 Screen 资源,触发远程代码执行。
Apache OFBiz < 18.12.16
支持对Apache-ofbiz的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案,指纹ID:0004890。
【深信服云镜YJ】已发布资产检测方案,指纹ID:0004890。
2.漏洞主动扫描
支持对Apache OFBiz服务端请求伪造漏洞(CVE-2024-45507)的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服云镜YJ】预计2024年09月12日发布检测方案,规则ID:SF-2024-00672。
【深信服漏洞评估工具TSS】预计2024年09月12日发布检测方案,规则ID:SF-2024-00672。
【深信服安全托管服务MSS】预计2024年09月12日发布检测方案(需要具备TSS组件能力),规则ID:SF-2024-00672。
【深信服安全检测与响应平台XDR】预计2024年09月12日发布检测方案(需要具备云镜组件能力),规则ID:SF-2024-00672。
https://github.com/apache/ofbiz-framework/commit/28f5f87ec9
https://issues.apache.org/jira/browse/OFBIZ-13132
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Apache OFBiz服务端请求伪造漏洞 (CVE-2024-45507)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论