漏洞标题
N/A
漏洞描述信息
通过修改URL参数外部LoginKey,恶意 logged in 用户可以将 valid FreeMarker 指令传递给页面上的模板引擎,使其显示在页面上;可以特别编写 FreeMarker 模板来进行远程代码执行。防御措施:升级到 Apache OFBiz 16.11.01。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
By manipulating the URL parameter externalLoginKey, a malicious, logged in user could pass valid Freemarker directives to the Template Engine that are reflected on the webpage; a specially crafted Freemarker template could be used for remote code execution. Mitigation: Upgrade to Apache OFBiz 16.11.01
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache OFBiz 安全漏洞
漏洞描述信息
Apache OFBiz(又名Apache Open For Business Project)是美国阿帕奇(Apache)软件基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 13.07.*版本、12.04.*版本和11.04.*版本中存在安全漏洞。远程攻击者可借助‘externalLoginKey’URL参数和特制的Freemarker模板利用该漏洞将有效的Freemarker指令传递到Template Engine,执行代码
CVSS信息
N/A
漏洞类别
授权问题