0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞

admin 2024年8月10日11:38:16评论27 views字数 865阅读2分53秒阅读模式
CVE-2024-38856是一个错误授权漏洞,是因身份验证机制中存在缺陷而产生的漏洞。Apache OFBiz在处理view视图渲染时存在逻辑缺陷,该漏洞允许未经身份验证的远程攻击者通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码,导致数据泄露、服务中断或恶意代码执行等。安全研究人员在分析CVE-2024-36104的修补过程中发现了CVE-2024-38856这一新的漏洞。

漏洞概况

漏洞名称

工具检测+人工分析

漏洞编号

CVE-2024-38856

CVSS 3.1分数

9.1

威胁类型

代码执行

利用可能性

漏洞性质

错误授权漏洞,允许未经身份验证的远程攻击者执行任意代码

影响范围

Apache OFBiz 18.12.14及之前所有版本,不包括最新版本18.12.15

漏洞复现及防护

目前,开源网安RASP团队已成功复现CVE-2024-38856漏洞,具体如下。

前期准备

操作系统:Windows 10、Linux 5.15.153.1

防护工具:RASP 3.3.0

检测对象:Apache OFBiz 18.12.10

漏洞复现

未安装RASP,运行应用并发送攻击请求,如下图:

0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞
其中恶意参数是

“throw new Exception('whoami'.execute().text);”的unicode编码

0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞
从结果中可以看出'whoami'命令被执行。

安装RASP

在JVM参数中加入

0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞

如图所示,请求被RASP所拦截:

0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞

拦截HTTP信息:

0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞

拦截堆栈信息:

0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞

综上,开源网安实时应用自我防护工具RASP在复现过程中成功对漏洞进行了拦截,将安全防御功能融合到正在运行的系统中,像抗体一样使系统具备自我保护能力,有效防护此类0day漏洞。

参考资料:

https://github.com/vulhub/vulhub/tree/1d932c52b9eb257de8c8a20ba7696a598157ef8f/ofbiz/CVE-2023-51467

 

原文始发于微信公众号(开源网安):0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月10日11:38:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞https://cn-sec.com/archives/3050387.html

发表评论

匿名网友 填写信息