Apache OFBiz 未经身份验证的远程代码执行(CVE-2024-45195)

文章预览

0x01 组件介绍 Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 fofa语法：app= "Apache_OFBiz" || "OFBiz.Visitor" 0x02 漏洞描述 2024年9月，官方发布新版本修复了CVE-2024-45195 Apache OFBiz 未经身份验证的远程代码执行，低于 18.12.16 的 Apache OFBiz 容易受到 Linux 和 Windows 上未经身份验证的远程代码执行攻击。没有有效凭据的攻击者可以利用 Web 应用程序中缺少的视图授权检查，在服务器上执行任意代码。绕过之前的 CVE-2024-32113、CVE-2024-36104 和 CVE-2024-38856 补丁可促进漏洞利用;此补丁绕过漏洞被跟踪为 CVE-2024-45195。 0x03 影响版本 Apache OFBiz < 18.12.16 0x04 环境搭建 0x01 下载 目前这个环境自己搭建的话还是比较麻烦，版本还是挺多选择的，我们选择个最近的版本18.12.15。 （运行 OFBiz 的唯一要求 ………………………………