CVE-2024-38856：Apache OFBiz远程代码执行漏洞

文章预览

关注我们❤️，添加星标🌟，一起学安全！ 作者：hexixi@Timeline Sec 本文字数：3813 阅读时长：2～4mins 声明：仅供学习参考使用，请勿用作违法用途，否则后果自负 0x01 简介 Apache OFBiz 是一个开源 ERP 系统，可帮助企业自动化和集成会计、人力资源、客户关系管理、订单管理、制造和电子商务等各种流程。 使用Java语言开发，基于Java企业版（Java EE）的技术栈，包括Java Servlet、JavaServer Pages（JSP）、Java数据库连接（JDBC）等。 0x02 漏洞概述 漏洞编号：CVE-2024-38856 ControlServlet和RequestHandler函数，在处理请求中存在授权错误，导致未经身份验证的远程攻击者通过构造特殊URL来覆盖最终的渲染视图，从而执行任意代码。 0x03 影响版本 Apache OFBiz   < =  18.12.14 0x04 环境搭建 https://github.com/apache/ofbiz-framework/releases/tag/release18.12.14 在官网中下载ofbiz，idea打开，构建 在of ………………………………