【漏洞通告】Apache OFBiz路径遍历漏洞（CVE-2024-36104）

主要观点总结

这篇文章主要介绍了Apache OFBiz路径遍历漏洞CVE-2024-36104的相关信息，包括漏洞概述、影响范围和安全措施。

关键观点总结

关键观点1: 漏洞概述和名称

Apache OFBiz路径遍历漏洞CVE-2024-36104是一个高危漏洞，由于HTTP请求URL中的特殊字符限制不当，威胁者可构造恶意请求利用该漏洞，成功利用可能导致远程代码执行。

关键观点2: 影响范围

该漏洞影响Apache OFBiz版本18.12.14之前的版本。

关键观点3: 安全措施

提供了升级版本、通用建议等安全措施。用户可升级到Apache OFBiz 18.12.14或更高版本以减少漏洞风险。同时还建议定期更新系统补丁、加强系统和网络的访问控制、使用企业级安全产品等措施来提升网络安全性能。

文章预览

一、漏洞 概述 漏洞名称  Apache OFBiz路径遍历漏洞 CVE   ID CVE-2024-36104 漏洞类型 路径遍历 发现时间 2024-06-03 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache OFBiz是一个著名的电子商务平台，提供了创建基于最新J2EE/ XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 2024年6月3日，启明星辰集团VSRC监测到Apache OFBiz中存在一个路径遍历漏洞（CVE-2024-36104）。 Apache OFBiz 版本 18.12.14 之前版本中存在路径遍历漏洞，由于对 HTTP 请求 URL 中的特殊字符（如； 、 %2e ）限制不当，威胁者可构造恶意请求利用该漏洞，成功利用可能导致远程代码执行。 二、影响范围 Apache OFBiz < 18.12.14 三、安全措施 3.1 升级版本 目前该漏 ………………………………