Apache OFBiz 身份验证绕过

于 2025-01-02 05:30:00 发布
阅读量1.3k 收藏 23
点赞数 34
文章标签: apache 绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Libao657/article/details/144527687
版权

介绍
CVE-2024-25065 是一个存在于 Apache OFBiz 在版本 18.12.12 之前的漏洞。这是一种路径遍历漏洞,允许通过 hasBasePermission()方法中的 contextPath 变量进行身份验证绕过。

Apache OFBiz 是什么?
Apache OFBiz(Open For Business)是一个开源的企业资源规划(ERP)和电子商务系统,提供了一套全面的商业应用程序,用于自动化和整合各种业务流程。OFBiz 使用 Java 和 XML 构建,可高度定制和可扩展,适用于中小型企业和具有复杂流程的企业。其模块化设计包括会计、库存管理、制造、订单管理和采购等 ERP 模块,以及电子商务、客户关系管理(CRM)和人力资源功能。OFBiz 支持强大的数据模型和面向服务的体系结构(SOA),实现业务逻辑和流程的无缝管理。作为 Apache 软件基金会的项目,OFBiz 受益于众多开发人员和广泛的文档,确保持续的支持和合作。带有 Apache Tomcat、Apache Derby、Freemarker 和 Groovy 等关键技术,OFBiz 为希望简化运营而不需要昂贵许可费的企业提供了一个集成解决方案。

对比修复补丁
LoginWorker.java
修补了此漏洞的提交位于:framework/webapp/src/main/java/org/apache/ofbiz/webapp/control/LoginWorker.java:
在这里添加了如下代码:

在这里插入图片描述
图 1:补丁添加的代码
这段代码的目的是确保 contextPath 变量是一个有效的、标准化的 URI 字符串。标准化 URI 包括移除冗余的段落(例如 . 和 …)、解析相对路径以及将 URI 转换为标准格式的过程。
显然,正如 CVE 描述中所述,contextPath 中存在路径遍历漏洞。

准备测试环境
由于 18.12.12 版本之前的版本存在漏洞,因此较旧的版本在编译构建过程中可能会遇到问题。相比之下,18.12.05 版本的问题较少,你可以在此下载该版本。

首先,我们需要 OpenJDK-8:

下载 openJDK8

wget https://download.java.net/openjdk/jdk8u41/ri/openjdk-8u41-b04-linux-x64-14_jan_2020.tar.gz

解压

tar -xvf openjdk-8u41-b04-linux-x64-14_jan_2020.tar.gz

将其移动到JVM文件夹

sudo mv java-se-8u41-ri /usr/lib/jvm/openjdk-8

将其添加到PATH中

export JAVA_HOME=/usr/lib/jvm/openjdk-8
export PATH= J A V A H O M E / b i n : JAVA_HOME/bin: JAVA

最低0.47元/天 解锁文章
Apache OFBiz 未授权远程代码执行漏洞(CVE-2024-45195)
iSee857的博客
09-08 1106
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限。在服务器上启动一个python http服务用以 请求发送。服务器上启的http服务收到访问链接。访问下列接口进行RCE验证。
Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 1315
2024年8月,互联网上披露Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码的安全机制。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
apache OFBiz 电子商务平台
左左春秋
02-16 449
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 OFBiz 已经正式成为...
Apache OFBiz 学习
何以问_的博客
08-12 1711
OFBiz进阶学习 1.准备 1.1环境及工具 Intellij IDEA 2020.1 JDK1.8.xx MySQL5 OFBIZ版本 (当前发布最新版17.12.04-发布于2020-07-13) 这里使用16.11.05 下载链接 2.下载 Apache OfBiz 框架 下载链接 下载之后解压 Apache OFBiz 自带的数据库为 Derby 后续可以配置成MySQL数据库 3.运行 Apache OFBiz gradlew cleanAll loadDefau
开源ERP-apache-ofbiz-17.12.04.zip
07-18
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和业务应用。 Apache OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。开箱即用,自定义或将其用作框架来实现您最具挑战性的业务需求。使用 OFBiz ,您可以立即开始,而无需传统企业自动化系统的巨大部署和维护成本。随着业务的发展,您可以扩展功能以满足您更加复杂的需求。 Apache OFBiz 项目是 Apache 软件基金会的一部分。
apacheOfbiz
weixin_34290390的博客
08-29 146
一、ofbiz 用自身数据库安装 1. 由 binary 安装: 由 binary 安装非常简单, 以下是安装方法: 下载ofbiz-2.0-beta1-complete.tar.gz, 注意不是ofbiz-2.0-beta1.tar.gz. tar xvzf ofbiz-2.0.beta1-complete.tar.gz cd tomcat/bin ./ofbiz.sh start gal...
Apache+OFBiz
chenyun的专栏
11-14 1095
OFBiz提供了AJP功能, 我们可以使用apache mod_jk来进行整合.例如, ofbiz的http端口为8080, AJP端口为8109, ofbiz的主机名为local.ofbiz.org, 要通过apache 80访问到ofbiz的mysite, 需要进行以下配置:修改windows/system32/drivers/etc/hosts文件, 增加127.0.0.1   
Apache OFBiz E-Business Solutions.pdf
02-04
Apache OFBiz E-Business Solutions.pdf 一千多页,OFBiz 9.04
CVE-2024-45195漏洞复现并反弹shell(Apache OFBiz 未授权远程代码执行漏洞)
最新发布
yyytaotao的博客
09-12 1044
本文利用了一个云服务器来远程代码执行并反弹shell.
ofbizApache OFBiz-主要开发已移至ofbiz-frameworks存储库
02-03
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 有关OFBiz的更多详细信息,请访问OFBiz文档页面: 系统要求 运行OFBiz的唯一要求是在系统上安装Java Development Kit(JDK)版本8(不仅是JRE,而且是完整的JDK),您可以从下面的链接下载该版本。 注意:如果使用的是Eclipse,请确保在Eclipse中创建项目之前运行适当的Eclipse命令gradlew eclipse 。 该命令将
apache-ofbiz-16.11.02源码+ofbiz菜鸟笔记+Apache+OFBiz+开发初学者指南
09-14
apache-ofbiz-16.11.02.zip,ofbiz菜鸟笔记,Apache+OFBiz+开发初学者指南.chm
开源ERP-apache-ofbiz-17.12.07.zip
05-31
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和业务应用。 Apache OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。开箱即用,自定义或将其用作框架来实现您最具挑战性的业务需求。使用 OFBiz ,您可以立即开始,而无需传统企业自动化系统的巨大部署和维护成本。随着业务的发展,您可以扩展功能以满足您更加复杂的需求。 Apache OFBiz 项目是 Apache 软件基金会的一部分。
Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
FreeBuf_的博客
08-06 730
近日,研究人员发现 Apache OFBiz 中存在一个新的关键漏洞,该漏洞是 Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道:如果满足某些先决条件,如屏幕定义没有明确检查用户的权限,因为它们依赖于终端的配置,那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。该问题源于身份验证机制中的一个漏洞,它允许未经身份验证的用户访问通常仅限已登录用户使用的功能,从而可能导致远程代码执行。
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295)
小小猪的博客
12-18 2044
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295) 介绍: OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等,OFBiz 已经正式成为 Apache
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)
0xSec
09-06 1328
2024年9月,互联网上披露了Apache OFBiz 远程代码执行漏洞(CVE-2024-45195),该漏洞允许未经身份验证的远程攻击者通过SSRF漏洞控制请求从而写入恶意文件。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz远程代码执行漏洞(CVE-2023-51467)
Keepb1ue的博客
12-28 1055
该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,存在漏洞可能导致不安全的代码执行,增加了系统安全性的风险。未授权访问和潜在的远程代码执行:此漏洞可能允许攻击者绕过安全限制,实现未授权访问和远程代码执行,严重时可能导致数据泄露、系统控制权被夺取。Apache官方已发布安全更新
Apache Ofbiz(13.07.02) 安装运行
预测未来,不如创造未来
10-05 3526
Ofbiz可以作为企业应用开发的基础业务平台,能为开发者节省不少重复造轮子的时间。本人以前就为企业造过类似的轮子。 一、下载ofbiz 去官网http://ofbiz.apache.org/download.html 下载Ofbiz  我下载的最新版本是apache-ofbiz-13.07.02  二、将下载的apache-ofbiz-13.07.02.zip 解压 三、将工程导入到
Apache OFBiz实战指南
"Apache OFBiz Cookbook 是一本专注于Apache OFBiz的实际操作指南,由Ruth Hoffman撰写,旨在帮助读者掌握控制OFBiz的各种有效方法。本书包含了60多个简洁而实用的配方,覆盖了OFBiz的各个方面,适合对开源企业级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值