Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危
MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache OFBiz 是一个开源的企业资源计划系统。
在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJSONuiLabelArray 中,由于 UtilProperties.getMessage(resource, resourceKey, locale) 允许从攻击者可控的 labelObject 中接收 resource 和 resourceKey,攻击者可以传入 URL或文件路径,从而进行服务器端请求伪造(SSRF)攻击和任意文件读取。
参考链接:https://www.oscs1024.com/hd/MPS-e3rj-bani

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
ofbiz (-∞, 18.12.11) 升级 将组件 ofbiz 升级至 18.12.11 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-e3rj-bani

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-e3rj-bani

https://nvd.nist.gov/vuln/detail/CVE-2023-50968

https://github.com/apache/ofbiz-framework/commit/82c17376880a8fd8a11261e1e00dad45cfed344d

https://github.com/apache/ofbiz-framework/commit/d7456c92de84cc41220aadfed175fd73397c0356

https://issues.apache.org/jira/browse/OFBIZ-12875

(0)
上一篇 2023年12月28日 下午2:00
下一篇 2023年12月29日 上午10:00

相关推荐

  • Apache Ambari < 2.7.8 XXE注入漏洞 (CVE-2023-50380)

    漏洞类型 XXE 发现时间 2024-02-28 漏洞等级 高危 MPS编号 MPS-2950-d3zu CVE编号 CVE-2023-50380 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Ambari 是一个用于配置、管理和监控 Apache Hadoop 集群的工具。 Apache Ambari

    2024年2月29日
    0
  • 瑞友天翼应用虚拟化系统<7.0.5.1远程代码执行漏洞 (MPS-q9y0-w78m)

    漏洞类型 代码注入 发现时间 2024-05-06 漏洞等级 严重 MPS编号 MPS-q9y0-w78m CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 瑞友天翼应用虚拟化系统是基于云计算技术的应用虚拟化解决方案,可以帮助用户实现应用的快速部署和管理。 受影响版本中由于SQL注入漏洞,默认未通过secure_file_priv配置限…

    漏洞 2024年5月8日
    0
  • Spring AMQP 反序列化漏洞 (CVE-2023-34050)

    漏洞类型 反序列化 发现时间 2023-10-18 漏洞等级 中危 MPS编号 MPS-1mr6-9hnw CVE编号 CVE-2023-34050 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring AMQP是将核心 Spring 概念应用于基于 AMQP 的消息传递解决方案的开发。 Spring AMQP中支持添加反序列化类名白名单,用于防止恶意类…

    2023年10月19日
    0
  • Next.js < 14.1.1 Server Actions SSRF漏洞 (CVE-2024-34351)

    漏洞类型 SSRF 发现时间 2024-05-10 漏洞等级 高危 MPS编号 MPS-4cby-lanf CVE编号 CVE-2024-34351 漏洞影响广度 一般 漏洞危害 OSCS 描述 Next.js 是Node.js生态中基于 React 的开源Web框架,其通过Server Actions功能提供了后端开发能力。 在受影响版本中,当使用Serv…

    漏洞 2024年5月11日
    0
  • Apache Ivy<2.5.2 存在XXE漏洞 (CVE-2022-46751)

    漏洞类型 输入验证不恰当 发现时间 2023-08-21 漏洞等级 中危 MPS编号 MPS-2022-67125 CVE编号 CVE-2022-46751 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache Ivy 是一个管理基于 ANT 项目依赖关系的开源工具,文档类型定义(DTD)是一种文档类型定义语言,它用于定义XML文档中所包含的元素以及元…

    2023年8月22日
    0