Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)

admin 2024年9月25日10:15:47评论31 views字数 749阅读2分29秒阅读模式
近日,安全聚实验室监测到 Apache OFBiz 存在服务端请求伪造漏洞,编号为:CVE-2024-45507,漏洞评分:9.8  此漏洞允许远程攻击者向内部发送任意请求,最终可导致任意远程执行。
01 漏洞描述
VULNERABILITY DESC.

Apache OFBiz 是一个开源的企业资源规划(ERP)系统,提供一系列的企业应用和工具,包括订单管理、会计、库存管理、制造管理、客户关系管理(CRM)等功能。OFBiz基于Java开发,采用灵活的架构和模块化设计,使其适用于各种规模的企业。该系统还提供了灵活的定制和扩展能力,使用户能够根据自身需求定制功能和流程。Apache OFBiz致力于为企业提供全面的解决方案,帮助它们管理业务流程、提高效率并实现业务目标。由于Apache OFBiz对URL验证不足,远程攻击者可以利用服务器端请求伪造的漏洞,向任意系统发起请求,从而导致远程代码执行。

02 影响范围
IMPACT SCOPE

Apache OFBiz < 18.12.16

03 安全措施
SECURITY MEASURES
目前厂商已发布可更新版本,建议用户尽快更新至 Apache OFBiz 的修复版本或更高的版本:

Apache OFBiz >= 18.12.16

下载链接:
https://ofbiz.apache.org/download.html

04 参考链接
REFERENCE LINK

1.https://ofbiz.apache.org/security.html
2.https://lists.apache.org/thread/o90dd9lbk1hh3t2557t2y2qvrh92p7wy

05

原文始发于微信公众号(安全聚):【漏洞预警】Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月25日10:15:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)https://cn-sec.com/archives/3129627.html

发表评论

匿名网友 填写信息