Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告

主要观点总结

这篇文章主要介绍了Apache OFBiz服务端的请求伪造漏洞，包括其影响、漏洞详情、处置建议等。

关键观点总结

关键观点1: 漏洞概述

Apache OFBiz存在服务端请求伪造漏洞（CVE-2024-45507），该漏洞可能导致攻击者完全控制受影响的系统，包括访问敏感数据、执行任意命令或进行进一步的网络攻击。

关键观点2: 影响范围

该漏洞影响Apache OFBiz版本小于18.12.16。

关键观点3: 漏洞描述

该漏洞是由于Apache OFBiz在从Groovy加载文件时对URL的验证不足，导致远程攻击者可以通过服务器端请求伪造的方式向任意系统发起请求，并可能导致远程代码执行。

关键观点4: 处置建议

官方已有可更新版本，建议受影响用户升级至最新版本，同时提供了官方补丁下载地址。

文章预览

●  点击↑蓝字关注我们，获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 服务端请求伪造漏洞 漏洞编号 QVD-2024-38644,CVE-2024-45507 公开时间 2024-09-03 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行 利用可能性 高 POC状态 未公开 在野利用状态 未发现 EXP状态 未公开 技术细节状态 未公开 危害描述： 该漏洞可能导致攻击者完全控制受影响的系统，包括访问敏感数据、执行任意命令或进行进一步的网络攻击。 0 1 漏洞详情 > > > > 影响组件 Apache OFBiz是⼀个著名的电⼦商务平台，提供了创建基于最新 J2EE/ XML规范和技术标准，构建⼤中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。 > > > > 漏洞描述 近日，奇安信CERT监测到官方修复 Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507) ，该漏洞是由于Ap ………………………………