Apache OFBiz 目录遍历导致RCE漏洞 (CVE-2024-32113)

2024年5月10日上午12:00 • 漏洞

漏洞类型	路径遍历	发现时间	2024-05-08	漏洞等级	严重
MPS编号	MPS-whuo-m9s3	CVE编号	CVE-2024-32113	漏洞影响广度	极小

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache OFBiz 是一个开源的企业资源计划系统，OFBiz支持运行Groovy代码用于编程导出数据。
在18.12.13之前的版本中，ControlFilter类针对URL路径限制不当导致攻击者可绕过权限控制访问后台/webtools/control/ProgramExport接口，进而利用编程导出功能，通过执行Groovy代码获取机器权限。
参考链接：https://www.oscs1024.com/hd/MPS-whuo-m9s3

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
ofbiz (-∞, 18.12.13)	缓解措施	在Web服务器中禁止/webtools/control/ProgramExport路径访问
参考链接：https://www.oscs1024.com/hd/MPS-whuo-m9s3

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-whuo-m9s3

https://nvd.nist.gov/vuln/detail/CVE-2024-32113

https://issues.apache.org/jira/browse/OFBIZ-13006

https://lists.apache.org/thread/w6s60okgkxp2th1sr8vx0ndmgk68fqrd

https://ofbiz.apache.org/download.html

https://ofbiz.apache.org/security.html

https://github.com/apache/ofbiz-framework/commit/d1eb4773550aee43ca18166791332e6e516a469f

CVE-2024-32113 漏洞

赞 (0)

Apache InLong < 1.12.0 JDBC反序列化漏洞 (CVE-2024-26579)

上一篇 2024年5月10日

Next.js < 14.1.1 Server Actions SSRF漏洞 (CVE-2024-34351)

下一篇 2024年5月11日

漏洞

Node.js HTTP/2 CONTINUATION 拒绝服务漏洞 (CVE-2024-27983)

漏洞类型可达断言发现时间 2024-04-04 漏洞等级高危 MPS编号 MPS-i9bf-a843 CVE编号 CVE-2024-27983 漏洞影响广度一般漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境。CONTINUATION泛洪攻击被发现存在于多个HTTP/2协议实现中。在受影响版本中，由于N…

2024年4月6日
00
漏洞

Microsoft Exchange Server 远程代码执行漏洞 (CVE-2023-36439)

漏洞类型代码注入发现时间 2023-11-15 漏洞等级高危 MPS编号 MPS-z7l2-u3tm CVE编号 CVE-2023-36439 漏洞影响广度广漏洞危害 OSCS 描述 Microsoft Exchange Server 是微软公司开发的一款邮件服务器。 Microsoft Exchange Server 受影响版本中，具有普通用户权…

2023年11月16日
00
漏洞

curl&libcurl高危漏洞CVE-2023-38545即将公开，如何应对？

背景 Curl是从1998年开始开发的开源网络请求命令行工具，其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。 10月4日，curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本，并公开两个漏洞：CVE-2023-38545和CVE-2023-38546。其中 CVE-202…

2023年10月10日
00
漏洞

Atlassian Bitbucket 远程代码执行漏洞 (CVE-2023-22513)

漏洞类型输入验证不恰当发现时间 2023-09-20 漏洞等级高危 MPS编号 MPS-2023-0013 CVE编号 CVE-2023-22513 漏洞影响广度广漏洞危害 OSCS 描述 Atlassian Bitbucket 是澳大利亚Atlassian公司的一款Git代码托管解决方案。在Bitbucket Server 和 Data Cen…

2023年9月21日
00
漏洞

Dataease jdbc 反序列化漏洞 (CVE-2024-23328)

漏洞类型反序列化发现时间 2024-02-29 漏洞等级严重 MPS编号 MPS-j54s-zgbo CVE编号 CVE-2024-23328 漏洞影响广度一般漏洞危害 OSCS 描述 Dataease是一款开源的数据可视化分析工具。受影响版本中，由于未对用户输入的数据库连接参数做有效过滤，具有 Dataease 登陆权限的攻击者可通过使用URL…

2024年3月1日
00