Apache OFBiz漏洞 CVE-2023-49070 的前世今生

最新推荐文章于 2025-05-15 10:35:28 发布
最新推荐文章于 2025-05-15 10:35:28 发布
阅读量1.2k 收藏 10
点赞数 5
CC 4.0 BY-SA版权
文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/asasd101/article/details/134889806
本文详细介绍了Apache OFBiz的XML-RPC反序列化漏洞历史,从CVE-2020-9496到最新的CVE-2023-49070,包括漏洞的利用方式、官方的修复尝试及绕过方法。Apache OFBiz因使用不再维护的XML-RPC组件而受到漏洞影响,最终通过移除相关逻辑进行修复,但认证绕过问题依然存在。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。

前世

Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞(CVE-2020-9496),问题出现在XML-RPC这个组件中。

XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,历史上出现过多个反序列化漏洞(如CVE-2016-5003、CVE-2019-17570),但都没有被修复。Apache OFBiz由于使用了XML-RPC组件所以受到了影响。

CVE-2020-9496这个漏洞在Vulhub中也有环境:https://github.com/vulhub/vulhub/tree/master/ofbiz/CVE-2020-9496。利用方式很简单,向/webtools/control/xmlrpc接口发送POST包,包含XML格式的RPC请求体。其中,<serializable>这个对象中包含了base64格式的Payload:

0530fa33d9e0ac13e9dddca68edf986a.png

2020年5月,漏洞出现后,OFBiz官方在 https://github.com/apache/ofbiz-framework/commit/d955b03fdc226d600d81d19d273e773f84b5c000 这个提交中提交了第一次补丁,这个补丁的作用是为XML-RPC的接口增加鉴权:

最低0.47元/天 解锁文章

200万优质内容无限畅学
落沐萧萧
关注
Apache OFBiz 未授权远程代码执行漏洞CVE-2024-45195)
iSee857的博客
09-08 1291
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限。在服务器上启动一个python http服务用以 请求发送。服务器上启的http服务收到访问链接。访问下列接口进行RCE验证。
Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070
0xSec
12-06 2058
2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生。尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1241
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
Apache-OFBiz远程代码执行漏洞(CVE-2024-45195)
最新发布
swordheart的博客
05-15 265
Apache OFBiz存在一个严重的远程代码执行漏洞CVE-2024-45195),该漏洞源于SSRF(服务器端请求伪造)问题,允许未经身份验证的远程攻击者通过控制请求来写入恶意文件。
apacheOfbiz
weixin_34290390的博客
08-29 164
一、ofbiz 用自身数据库安装 1. 由 binary 安装: 由 binary 安装非常简单, 以下是安装方法: 下载ofbiz-2.0-beta1-complete.tar.gz, 注意不是ofbiz-2.0-beta1.tar.gz. tar xvzf ofbiz-2.0.beta1-complete.tar.gz cd tomcat/bin ./ofbiz.sh start gal...
Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
FreeBuf_的博客
08-06 753
近日,研究人员发现 Apache OFBiz 中存在一个新的关键漏洞,该漏洞Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道:如果满足某些先决条件,如屏幕定义没有明确检查用户的权限,因为它们依赖于终端的配置,那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。该问题源于身份验证机制中的一个漏洞,它允许未经身份验证的用户访问通常仅限已登录用户使用的功能,从而可能导致远程代码执行。
Apache OfBiz 反序列化命令执行漏洞CVE-2023-49070
LJQClqjc的博客
12-13 792
Apache OFBiz 17.12.03版本及以前存在一处XMLRPC导致的反序列漏洞,官方于后续的版本中对相关接口进行加固修复漏洞,但修复方法存在绕过问题(CVE-2023-49070),攻击者仍然可以利用反序列化漏洞在目标服务器中执行任意命令。
Apache OFBiz SSRF漏洞CVE-2024-45507分析
INSBUG的博客
09-27 1082
由于Apache OFBiz在从Groovy加载文件时未对用户提交的数据进行过滤,未经身份验证的恶意攻击者通过服务器端请求伪造的方式向任意系统发起请求,加载远程恶意xml执行任意代码,从而获取目标服务器的控制权限,具体来说,攻击者可以构造一个恶意的 XML 文件,并通过 SSRF 攻击让 Apache OFBiz 的服务器加载并执行这个文件中的 Groovy 脚本。接收的URL将被视作一个模型屏幕(modelScreen)并进行解析,参照可以根据代码中的示例来构建一个概念验证包含命令的XML文件。
Apache OFBiz RCE漏洞复现(CVE-2023-51467)
0xSec
12-28 2609
该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,导致远程代码执行
Apache Ofbiz 任意文件读取漏洞CVE-2023-50968)
weixin_43567873的博客
03-11 364
Apache Ofbiz 任意文件读取漏洞CVE-2023-50968)
Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 1434
2024年8月,互联网上披露Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码的安全机制。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache OFBiz E-Business Solutions.pdf
02-04
Apache OFBiz E-Business Solutions.pdf 一千多页,OFBiz 9.04
Apache Ofbiz-xmlrpc-反序列化漏洞CVE-2023-49070
看着博客敲代码
07-12 1012
Apache OFBiz XML-RPC 反序列化漏洞 是由于 Apache OFBiz 在处理 XML-RPC 请求时存在不安全的反序列化操作。攻击者可以绕过权限限制,访问/webtools/control/xmlrpc/接口触发反序列化。
漏洞复现】Apache OFBiz 路径遍历导致RCE漏洞(CVE-2024-36104)
qq_67810151的博客
06-07 901
Apache OFBiz是一个功能强大、易于定制和扩展的开源ERP系统,适用于各种类型的企业。通过利用最新的技术标准和开源项目,Apache OFBiz为企业提供了一个高效、稳定、灵活的电子商务平台解决方案。
漏洞复现】Apache OFBiz 授权不当致远程代码执行
今天是几号的博客
08-06 1145
攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。Apache OFBiz 是一个开源的企业资源计划 (ERP) 和客户关系管理 (CRM) 软件平台,提供全面的企业管理解决方案,包括电子商务、库存管理、制造、会计等功能,支持企业进行灵活的定制和扩展。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
【复现】Apache OFBiz RCE漏洞(CVE-2023-51467)_03
fushuang333的博客
12-30 1061
Apache OFBiz RCE漏洞。通过提交恶意构造的参数破坏命令语句结构,会执行恶意命令,甚至控制整个服务器。
CVE-2023-49070Apache Ofbiz XML-RPC远程命令执行漏洞复现[附POC]
薛定谔嘚喵博客
01-11 676
由于Apache OFBiz XML-RPC存在历史的反序列化漏洞CVE-2020-9496)(未修复,XML-RPC官方不再维护),未经身份验证的恶意攻击者通过构造特殊请求,成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 2383
CVE-2023-49070 漏洞复现
Apache OFBiz远程代码执行漏洞通告
爱国小白帽
05-01 741
报告编号:B6-2021-042801 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-28 1 漏洞简述 2021年04月28日,360CERT监测发现Apache OFBiz发布了漏洞风险通告,共包含2个漏洞漏洞编号分别为CVE-2021-29200,CVE-2021-30128,漏洞等级:严重,漏洞评分:9.8。 OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子
CVE-2024-45195
01-17
### CVE-2024-45195 漏洞详情 CVE-2024-45195 是 Apache OFBiz 中 `/viewdatafile` 接口存在的代码执行漏洞。此漏洞允许攻击者通过精心构造的请求,在服务器端执行任意代码,从而完全控制受影响的应用程序实例[^2]。 #### 影响范围 该漏洞影响所有使用 Apache OFBiz 应用框架并启用了 `/viewdatafile` 功能模块的部署环境。具体版本受影晌情况需参照官方公告确认,通常较新版本可能已经包含了对该问题的部分缓解措施。由于 Apache OFBiz 广泛应用于企业资源规划 (ERP) 和客户关系管理 (CRM),因此潜在的影响面较大。 #### 修复方案 为了防止利用此漏洞进行攻击,建议采取以下措施: 1. **立即更新至最新版**:尽快将 Apache OFBiz 升级到最新的稳定版本,因为开发者团队会在后续版本中修复此类安全问题。 2. **禁用不必要的服务接口**:如果业务逻辑不需要使用 `/viewdatafile` API,则应考虑将其关闭或限制访问权限,减少暴露风险。 3. **应用补丁**:对于无法立刻升级的情况,应当密切关注厂商发布的针对性修补程序,并及时安装以封堵漏洞。 4. **加强输入验证**:即使有其他防护手段,也应在应用程序层面强化对外部数据输入的校验机制,避免恶意参数穿透防御体系。 ```bash # 更新命令示例(实际操作前请查阅官方文档) cd /path/to/apache-ofbiz/ git pull origin main ./gradlew cleanAll build install ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值