Apache OFBiz <12.12.18 路径遍历漏洞 (CVE-2024-25065)

漏洞类型 路径遍历 发现时间 2024-02-29 漏洞等级 高危
MPS编号 MPS-rfy8-vc9m CVE编号 CVE-2024-25065 漏洞影响广度

漏洞危害

OSCS 描述
Apache OFBiz 是一个开源的企业资源计划系统。
Apache OFBiz 中由于未充分验证用户输入的 contextPath 而导致存在路径遍历漏洞,未授权的攻击者可以通过构造恶意请求绕过认证,进而访问系统中的资源。修复代码通过将contextPath转换为一个URI对象,并调用.normalize()方法来规范化路径,从而防止路径遍历。
参考链接:https://www.oscs1024.com/hd/MPS-rfy8-vc9m

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
ofbiz (-∞, 18.12.12) 升级 将 ofbiz 升级至 18.12.12 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-rfy8-vc9m

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-rfy8-vc9m

https://issues.apache.org/jira/browse/OFBIZ-12894

https://github.com/apache/ofbiz-framework/commit/0d9ac6e4b22d1e0ba84913c43afe7243847ea833

https://seclists.org/oss-sec/2024/q1/177

(0)
上一篇 2024年2月28日 下午12:00
下一篇 2024年2月29日 下午12:00

相关推荐

  • curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

    背景 Curl是从1998年开始开发的开源网络请求命令行工具,其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。 10月4日,curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本,并公开两个漏洞:CVE-2023-38545和CVE-2023-38546。其中 CVE-202…

    2023年10月10日
    0
  • Apache Ivy<2.5.2 存在XXE漏洞 (CVE-2022-46751)

    漏洞类型 输入验证不恰当 发现时间 2023-08-21 漏洞等级 中危 MPS编号 MPS-2022-67125 CVE编号 CVE-2022-46751 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache Ivy 是一个管理基于 ANT 项目依赖关系的开源工具,文档类型定义(DTD)是一种文档类型定义语言,它用于定义XML文档中所包含的元素以及元…

    2023年8月22日
    0
  • Moodle <4.3.0-rc2 代码注入 (CVE-2023-5539)

    漏洞类型 代码注入 发现时间 2023-11-10 漏洞等级 中危 MPS编号 MPS-onli-9jb0 CVE编号 CVE-2023-5539 漏洞影响广度 极小 漏洞危害 OSCS 描述 Moodle 是一个学习平台,旨在提供教育工作者、管理人员和学习者可以通过一个强大、安全和集成系统创建个性化学习环境。 在课程活动中发现了远程代码执行风险。默认情况下…

    2023年11月10日
    0
  • easy-rules-mvel<=4.1.0 远程代码执行漏洞 (CVE-2023-50571)

    漏洞类型 代码注入 发现时间 2023-12-30 漏洞等级 高危 MPS编号 MPS-k69p-f547 CVE编号 CVE-2023-50571 漏洞影响广度 小 漏洞危害 OSCS 描述 Easy Rules 是开源的Java规则引擎,easy-rules-mvel 支持使用 MVEL 表达式语言定义规则。 easy-rules-mvel 4.1.0及…

    2023年12月31日
    0
  • ethyca-fides SSRF 漏洞 (CVE-2023-46124)

    漏洞类型 SSRF 发现时间 2023-10-24 漏洞等级 低危 MPS编号 MPS-4qzm-s5ug CVE编号 CVE-2023-46124 漏洞影响广度 漏洞危害 OSCS 描述 Fides是一个隐私工程平台,用于管理运行时环境中数据隐私请求的履行,以及在代码中执行隐私法规。 Fides允许以 ZIP 文件格式上传包含YAML 格式的配置文件和数据…

    2023年10月24日
    0