【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

admin 2024年6月6日23:24:35评论59 views字数 1661阅读5分32秒阅读模式

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

Apache OFBiz 路径遍历漏洞

漏洞编号

QVD-2024-21464,CVE-2024-36104

公开时间

2024-06-02

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

9.8

威胁类型

代码执行

利用可能性

POC状态

已公开

在野利用状态

未发现

EXP状态

已公开

技术细节状态

已公开

危害描述:未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。

01
漏洞详情
>>>>

影响组件

Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建⼤中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。

>>>>

漏洞描述

近日,奇安信CERT监测到Apache OFBiz 路径遍历漏洞(CVE-2024-36104) 在互联网上公开,未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。目前该漏洞技术细节与EXP已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

02
影响范围
>>>>

影响版本

Apache OFBiz < 18.12.14

>>>>

其他受影响组件

03
复现情况

目前,奇安信威胁情报中心安全研究员已成功复现Apache OFBiz 路径遍历漏洞(CVE-2024-36104),截图如下:

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

04
处置建议
>>>>

安全更新

目前官方已有可更新版本,建议受影响用户升级至最新版本:

Apache OFBiz >= 18.12.14

官方补丁下载地址:https://ofbiz.apache.org/download.html

>>>>

产品解决方案

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0605.14344或以上版本。规则ID及规则名称:

0x10021BAF,Apache OFBiz 路径遍历漏洞(CVE-2024-36104)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache OFBiz 路径遍历漏洞(CVE-2024-36104)的防护。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:8068,建议用户尽快升级检测规则库至2405301600以上版本并启用该检测规则。

奇安信开源卫士已支持

奇安信开源卫士20240605. 648 版本已支持对Apache OFBiz 路径遍历漏洞(CVE-2024-36104)的检测。

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击,请将插件版本和指纹版本升级到202406072600以上版本。规则名称:Apache OFBiz CVE-2024-36104 命令执行漏洞。奇安信自动化渗透测试系统规则升级方法:系统管理->升级管理->插件升级(指纹升级),选择“网络升级”或“本地升级”。

05
参考资料

[1]https://ofbiz.apache.org/security.html

[2]https://issues.apache.org/jira/browse/OFBIZ-13092

[3]https://github.com/apache/ofbiz-framework/commit/d33ce31012

[4]https://github.com/apache/ofbiz-framework/commit/474e806816

06
时间线

2024年6月6日,奇安信 CERT发布安全风险通告。

07

原文始发于微信公众号(奇安信 CERT):【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月6日23:24:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告https://cn-sec.com/archives/2822109.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息