漏洞描述:
Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台,它提供了许多功能,包括全文搜索、动态聚类、数据库集成等。(默认未安装该插件)
由于Apache OFBiz在使用Solr插件时缺少了必要的身份验证,直接访问Solr平台进行查询等操作。攻击者可以利用该漏洞,直接绕过身份验证,直接访问 Slor 的 API 进行未授权操作,如:查询修改数据等。在修复版本中,Apache OFBiz 通过引入方法 userIsUnauthorized,检查用户是否未经授权,并限制了未经授权用户访问Slor的权限。
影响范围:
ofbiz(-∞, 18.12.09)
修复方案:
将组件 ofbiz 升级至 18.12.09 及以上版本
参考链接:
https://github.com/apache/ofbiz-plugins/commit/998bf510a
https://ofbiz.apache.org/security.html
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache OFBiz Solr 存在未授权访问漏洞CVE-2023-46819
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论