【漏洞预警】Apache OFBiz远程代码执行漏洞

2023-12-08 20,861

1

漏洞信息

  漏洞名称:Apache OFBiz远程代码执行漏洞

  漏洞编号:CVE-2023-49070

  漏洞等级:高
  披露时间:2023年12月4日

  更新时间:2023年12月7日

2

漏洞详情

     Apache OFBiz采用Java语言编写,基于模块化和可扩展的架构,允许用户根据其特定需求定制和扩展各种业务功能。Apache OFBiz是一个开源的企业资源规划(ERP)和企业应用框架,提供一套全面的业务应用解决方案。

     Apache OFBiz存在一处远程代码执行漏洞(CVE-2023-49070),该漏洞源于在Apache OFBiz 18.12.10版本之前仍然存在的XML-RPC问题。攻击者可以通过远程未经授权的方式绕过防护措施,访问/webtools/control/xmlrpc,并利用该漏洞实现对目标服务器的任意代码执行,最终实现对目标服务器的控制。

温馨提示:建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

3

影响范围

  该漏洞影响范围: 

  Apache OFBiz<18.12.10

4

漏洞复现

    目前,特磊信息已成功本地复现Apache OFBiz远程代码执行漏洞。

    漏洞检测方法如下:

访问Apache OFBiz登录主页面,右下角可以看到当前版本信息。

  漏洞攻击载荷如下:


5

修复建议

1、目前建议您尽快访问官网(https://ofbiz.apache.org),获取修复漏洞的最新版本安装包或补丁。


2、临时修复建议

a.建议配置入侵检测系统(IDS)、入侵防御系统(IPS)和Web应用防火墙(WAF),以识别并阻止具有这类特征的请求。同时,为防止攻击者绕过安全设备实施攻击,强烈建议尽快修复系统中的漏洞。

b.除非必要,不要将Apache OFBiz暴露在公网上。可以通过网络ACL策略来限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。

6

参考链接

https://ofbiz.apache.org/download.html

https://avd.aliyun.com/detail?id=AVD-2023-49070

END




上海特磊信息技术有限公司


关注特磊信息

以客户服务为本

为客户创造价值

本文作者:闹钟小姐

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/204440.html

评论  (0)
快来写下你的想法吧!

闹钟小姐

文章数:11 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号