文章预览
文章来源:沃克学安全 申明:本文仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 一、漏洞描述 Apache OFBiz < 18.12.16版本中未经身份认证的远程攻击者可通过控制请求从而写入恶意文件获取服务器权限,造成远程代码执行 二、漏洞原理 该漏洞本质上还是ofbiz的路由与鉴权问题,是由于之前漏洞(CVE-2024-32113、CVE-2024-36104和CVE-2024-38856)未完全修复所导致。在Apache OFBiz版本18.12.16之前,开发人员对这些先前的问题进行了修复,但控制器与视图地图状态不同步的根本问题仍然存在。这使得攻击者能够绕过身份验证并访问敏感的仅限管理员的视图地图。 漏洞细节已在互联网公开,详情请看: https: / /www.rapid7.com/blog /post/ 2024 /09/ 05 /cve- 2024 - 45195 -apache-ofbiz-unauthenticate
………………………………