【漏洞复现】Apache OFBiz路径遍历代码执行漏洞（CVE-2024-36104）

文章预览

一、漏洞 概述 漏洞名称  Apache OFBiz路径遍历代码执行漏洞 CVE   ID CVE-2024-36104 漏洞类型 路径遍历、RCE 发现时间 2024-06-03 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Apache OFBiz是一个著名的电子商务平台，提供了创建基于最新J2EE/ XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 2024年6月3日，启明星辰集团VSRC监测到Apache OFBiz中存在一个路径遍历代码执行漏洞（CVE-2024-36104）。 Apache OFBiz 版本18.12.14之前版本中存在路径遍历漏洞，由于对HTTP请求URL中的特殊字符（如；、%2e）限制不当，威胁者可构造恶意请求绕过验证并利用相关接口功能导致远程代码执行。 二、漏洞复现 三、影响范围 Apache OFBiz < 18.12.14 四、 ………………………………