Apache OFBiz SSRF漏洞CVE-2024-45507分析

最新推荐文章于 2025-11-01 09:30:00 发布
原创 最新推荐文章于 2025-11-01 09:30:00 发布 · 1.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SSRF #Apache OFBiz #CVE-2024-45507 #漏洞扫描

Apache OFBiz介绍

Apache OFBiz 是一个功能丰富的开源电子商务平台,包含完整的商业解决方案,适用于多种行业。它提供了一套全面的服务,包括客户关系管理(CRM)、企业资源规划(ERP)、订单管理、产品目录、在线交易等。OFBiz提供了强大的 Java Web 框架、成熟的 CRM 和 ERP 功能,Apache OFBiz 的架构设计考虑了开发人员的便利性,它的灵活性和模块化设计使得它能够适应各种业务需求,无论是小型企业还是大型企业。Apache OFBiz 已经发展了超过10年,作为一个企业范围内的 ERP 解决方案,它已经显示出其稳定性和成熟性,通过使用 Apache OFBiz,企业可以实现高效的业务流程自动化,提高运营效率,降低成本。

漏洞背景

  近期,Apache Ofbiz团队发布了一则安全通知,宣布修补了一个存在于Apache Ofbiz软件中的严重安全漏洞,该漏洞被分配为CVE-2024-45507。由于Apache OFBiz在从Groovy加载文件时未对用户提交的数据进行过滤,未经身份验证的恶意攻击者通过服务器端请求伪造的方式向任意系统发起请求,加载远程恶意xml执行任意代码,从而获取目标服务器的控制权限,具体来说,攻击者可以构造一个恶意的 XML 文件,并通过 SSRF 攻击让 Apache OFBiz 的服务器加载并执行这个文件中的 Groovy 脚本。

漏洞分析

查看官方的修复代码如下:

https://github.com/apache/ofbiz-framework/commit/ffb1bc487983fa672ac4fbeccf7ed7175e2accd3</

最低0.47元/天 解锁文章
Apache OFBiz 未授权远程代码执行漏洞CVE-2024-45195)
iSee857的博客
09-08 1391
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限。在服务器上启动一个python http服务用以 请求发送。服务器上启的http服务收到访问链接。访问下列接口进行RCE验证。
Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 1569
2024年8月,互联网上披露Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码的安全机制。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1264
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
【春秋云境】CVE-2024-45507 Apache OFBiz SSRF与远程命令执行漏洞
最新发布
HMX404的博客
11-01 170
摘要:Apache OFBiz在18.12.16之前版本存在SSRF与RCE漏洞,攻击者可利用伪造的XML文件通过webtools/control/forgotPassword接口执行任意命令。POC展示了如何通过statsDecoratorLocation参数注入恶意XML(含Groovy命令)实现文件窃取。测试环境搭建建议使用cpolar进行内网穿透,映射本地Python HTTP服务到公网。该漏洞无需认证即可利用,风险极高,建议及时升级修复。
Apache OFBiz远程代码执行漏洞通告
爱国小白帽
05-01 872
报告编号:B6-2021-042801 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-28 1 漏洞简述 2021年04月28日,360CERT监测发现Apache OFBiz发布了漏洞风险通告,共包含2个漏洞漏洞编号分别为CVE-2021-29200,CVE-2021-30128,漏洞等级:严重,漏洞评分:9.8。 OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子
编码转换漏洞_APACHE OFBIZ XMLRPC远程代码执行漏洞分析
weixin_31994237的博客
12-29 566
概述近期,研究人员报告了一个存在于Apache OFBiz中的反序列化漏洞。这个漏洞是由多个Java反序列化问题所导致的,当代码在处理发送至/webtools/control/xmlrpc的请求时,便有可能触发该漏洞。未经认证的远程攻击者将能够通过发送精心构造的恶意请求来触发并利用该漏洞,并实现任意代码执行。漏洞分析Apache OFBiz是一个开源的企业资源规划(ERP)系统,它提供了...
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)
0xSec
09-06 1671
2024年9月,互联网上披露了Apache OFBiz 远程代码执行漏洞(CVE-2024-45195),该漏洞允许未经身份验证的远程攻击者通过SSRF漏洞控制请求从而写入恶意文件。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz远程代码执行漏洞CVE-2024-38856)
蚁景网安学院
09-12 659
Apache OFBiz 是一个开源的企业资源规划系统,提供了一整套企业管理解决方案。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷,未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图,从而执行任意代码。
#渗透测试#批量漏洞挖掘#Apache OFBiz代码执行漏洞(CVE-2024-38856)
soc的博客
02-17 1338
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.14及之前版本存在安全漏洞,该漏洞源于存在授权错误漏洞,从而导致未经身份验证的端点可执行屏幕渲染代码。
apache
weixin_42330088的博客
10-24 937
CVE-2024-38856可在unauth controller后跟一个视图来覆盖,修复是直接将Program Export加了权限,CVE-2024-45195是重新找了screen写文件。指向的TempExprScreens.xml看到,通过parameters参数传递tempExprDecoratorLocation作为location的值;指定url会继续被当作modelScreen解析,参照代码写法即可构造PoC,在代码中搜索"${groovy:相关代码,照着写即可。
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1336
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
漏洞复现--Apache Ofbiz XML-RPC RCE(CVE-2023-49070)
qq_53003652的博客
12-07 2577
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
漏洞复现-Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)
玄道的网安博客
08-11 788
Apache XML-RPC 是 XML-RPC 的 Java 实现,XML-RPC 是一种使用 XML over HTTP 来实现远程过程调用的协议。USERNAME=&PASSWORD=s&requirePasswordChange=Y绕过针对/control/xmlrpc的接口过滤限制(CVE-2020-9496),从而使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。所以,只要我们在发送XML-RPC请求的时候,将。这个补丁的作用是为XML-RPC的接口增加鉴权。
漏洞复现】Apache OFBiz 授权不当致远程代码执行
今天是几号的博客
08-06 1835
攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。Apache OFBiz 是一个开源的企业资源计划 (ERP) 和客户关系管理 (CRM) 软件平台,提供全面的企业管理解决方案,包括电子商务、库存管理、制造、会计等功能,支持企业进行灵活的定制和扩展。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
Apache OFBiz路径遍历漏洞(CVE-2024-36104)
WuYSec的博客
06-05 1060
Apache OFBiz 18.12.14之前版本存在命令执行漏洞 ,该漏洞源于ControlFilter对路径限制不当导致用户能够访问ProgramExport导出功能执行Groovy代码。Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。无垠Sec专注安全研究,包括但不限于代码审计、漏洞挖掘、思路分享等。目前仅需50,你就能得到常见系统1day漏洞POC、代码审计、漏洞分析漏洞挖掘等。
Apache OFBiz路径遍历漏洞CVE-2024-36104)
kuaindl的博客
10-21 402
Apache OFBiz存在路径遍历漏洞,影响18.12.14之前版本。攻击者可构造恶意请求绕过验证,通过/webtools/control/ProgramExport接口执行任意Groovy代码获取系统权限。复现过程显示,修改数据包加入Unicode编码的POC即可远程执行命令。建议用户升级至18.12.14或更高版本,并限制网络访问权限。该漏洞危害严重,需及时修复。
Apache Ofbiz XMLRPC RCE漏洞CVE-2020-9496)复现
玄道的网安博客
12-26 1046
简介 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 影响版本 Apache Ofbiz:< 17.12.04 环境搭建 docker pull andy..
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)
黑白的博客
12-27 1655
声明 好好学习,天天向上 漏洞描述 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 其17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞,攻击者利用这个漏洞可以
CVE-2024-45195
01-17
### CVE-2024-45195 漏洞详情 CVE-2024-45195 是 Apache OFBiz 中 `/viewdatafile` 接口存在的代码执行漏洞。此漏洞允许攻击者通过精心构造的请求,在服务器端执行任意代码,从而完全控制受影响的应用程序实例[^2]。 #### 影响范围 该漏洞影响所有使用 Apache OFBiz 应用框架并启用了 `/viewdatafile` 功能模块的部署环境。具体版本受影晌情况需参照官方公告确认,通常较新版本可能已经包含了对该问题的部分缓解措施。由于 Apache OFBiz 广泛应用于企业资源规划 (ERP) 和客户关系管理 (CRM),因此潜在的影响面较大。 #### 修复方案 为了防止利用此漏洞进行攻击,建议采取以下措施: 1. **立即更新至最新版**:尽快将 Apache OFBiz 升级到最新的稳定版本,因为开发者团队会在后续版本中修复此类安全问题。 2. **禁用不必要的服务接口**:如果业务逻辑不需要使用 `/viewdatafile` API,则应考虑将其关闭或限制访问权限,减少暴露风险。 3. **应用补丁**:对于无法立刻升级的情况,应当密切关注厂商发布的针对性修补程序,并及时安装以封堵漏洞。 4. **加强输入验证**:即使有其他防护手段,也应在应用程序层面强化对外部数据输入的校验机制,避免恶意参数穿透防御体系。 ```bash # 更新命令示例(实际操作前请查阅官方文档) cd /path/to/apache-ofbiz/ git pull origin main ./gradlew cleanAll build install ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值