Apache OFBiz路徑遍歷漏洞 (CVE-2024-36104) 安全風(fēng)險(xiǎn)通告
責(zé)編:gltian |2024-06-06 17:30:37| 漏洞概述 | |||
| 漏洞名稱 | Apache OFBiz 路徑遍歷漏洞 | ||
| 漏洞編號 | QVD-2024-21464,CVE-2024-36104 | ||
| 公開時(shí)間 | 2024-06-02 | 影響量級 | 萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分?jǐn)?shù) | 9.8 |
| 威脅類型 | 代碼執(zhí)行 | 利用可能性 | 高 |
| POC狀態(tài) | 已公開 | 在野利用狀態(tài) | 未發(fā)現(xiàn) |
| EXP狀態(tài) | 已公開 | 技術(shù)細(xì)節(jié)狀態(tài) | 已公開 |
| 危害描述:未授權(quán)的攻擊者可以通過構(gòu)造惡意請求繞過認(rèn)證,進(jìn)?訪問系統(tǒng)中的敏感接口,造成任意代碼執(zhí)行。 | |||
01?漏洞詳情
影響組件
Apache OFBiz是?個(gè)著名的電?商務(wù)平臺,提供了創(chuàng)建基于最新 J2EE/ XML規(guī)范和技術(shù)標(biāo)準(zhǔn),構(gòu)建?中型企業(yè)級、跨平臺、跨數(shù)據(jù)庫、跨應(yīng)?服務(wù)器的多層、分布式電?商務(wù)類WEB應(yīng)?系統(tǒng)的框架。
漏洞描述
近日,奇安信CERT監(jiān)測到Apache OFBiz 路徑遍歷漏洞(CVE-2024-36104)?在互聯(lián)網(wǎng)上公開,未授權(quán)的攻擊者可以通過構(gòu)造惡意請求繞過認(rèn)證,進(jìn)?訪問系統(tǒng)中的敏感接口,造成任意代碼執(zhí)行。目前該漏洞技術(shù)細(xì)節(jié)與EXP已在互聯(lián)網(wǎng)上公開,鑒于該漏洞影響范圍較大,建議客戶盡快做好自查及防護(hù)。
02?影響范圍
影響版本
Apache OFBiz < 18.12.14
其他受影響組件
無
03?復(fù)現(xiàn)情況
目前,奇安信威脅情報(bào)中心安全研究員已成功復(fù)現(xiàn)Apache OFBiz 路徑遍歷漏洞(CVE-2024-36104),截圖如下:
04?處置建議
安全更新
目前官方已有可更新版本,建議受影響用戶升級至最新版本:
Apache OFBiz >= 18.12.14
官方補(bǔ)丁下載地址:https://ofbiz.apache.org/download.html
05?參考資料
[1]https://ofbiz.apache.org/security.html
[2]https://issues.apache.org/jira/browse/OFBIZ-13092
[3]https://github.com/apache/ofbiz-framework/commit/d33ce31012
[4]https://github.com/apache/ofbiz-framework/commit/474e806816
來源:奇安信 CERT
- 零售巨頭因勒索攻擊運(yùn)營中斷數(shù)月,預(yù)計(jì)損失近30億元
- Pwn2Own 2025柏林黑客大賽:冠軍團(tuán)隊(duì)斬獲32萬美元
- AI驅(qū)動(dòng)時(shí)代,安全跨越鴻溝的困境和機(jī)遇
- 曝光:國內(nèi)某打印機(jī)官方軟件感染竊密木馬超半年
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運(yùn)冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元