漏洞描述:
Apache OFBiz 是一个开源的企业资源计划系统。OFBiz支持运行 Grovvy代码来编程导出数据,由于LoginWorker.java中使用if (username == null || (password == null && token == null)作为鉴权条件,当攻击者使用USERNAME=&PASSWORD=s&requirePasswordChange=Y时可以绕过权限认证,并执行Grovvy命令,实现远程代码执行,在修复版本中,通过使用UtilValidate.isEmpty(username)来验证传入参数是否为空,修复了权限绕过的问题。
影响范围:
ofbiz(-∞, 18.12.11)
修复方案:
将组件 ofbiz 升级至 18.12.11 及以上版本
下载链接:
https://ofbiz.apache.org/download.html
参考链接:
https://github.com/apache/ofbiz-framework/commit/47e7959065b82b170da5c330ed5c17af16415ede
https://issues.apache.org/jira/browse/OFBIZ-12873
https://github.com/apache/ofbiz-framework/commit/ee02a33509589856ab1ad08399e8dcee6b0edf58
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache OFBiz 未授权远程代码执行漏洞CVE-2023-51467
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论