漏洞描述:
Apache OFBiz是一个开源的企业级应用程序框架,旨在提供一个单一的、集成的解决方案,以管理公司的所有业务流程,从订单处理到财务报告,从供应链管理到客户关系管理。它由Apache软件基金会维护,是一个基于Java EE(现在称为Jakarta EE)的技术平台,Apache OFBiz 中存在路径遍历漏洞,漏洞原因在于未充分验证用户输入的 contextPath 参数,未授权的攻击者可以通过构造恶意请求绕过认证,进而访问系统中的文件。
影响版本:
Apache OFBiz<18.12.12
修复建议:
正式防护方案:
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本
将 ofbiz 升级至 18.12.12 及以上版本
漏洞修复版本:
Apache OFBiz >= 18.12.12
下载链接:
https://ofbiz.apache.org/download.html
参考链接:
https://issues.apache.org/jira/browse/OFBIZ-12894
https://github.com/apache/ofbiz-framework/commit/0d9ac6e4b22d1e0ba84913c43afe7243847ea833
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache OFBiz 路径遍历漏洞CVE-2024-25065
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论