漏洞标题
N/A
漏洞描述信息
在Apache OFBiz 16.11.01至16.11.04期间,OFBiz HTTP引擎(org.apache.ofbiz.service.engine.HttpEngine.java)通过/webtools/control/httpService端点处理HTTP服务请求。向httpService端点发送的POST和GET请求可能包含三个参数:服务名称,服务模式和服务上下文。利用是通过让DOCTYPE指向外部引用,触发一个包含从主机返回秘密信息的体 payload 的过程。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In Apache OFBiz 16.11.01 to 16.11.04, the OFBiz HTTP engine (org.apache.ofbiz.service.engine.HttpEngine.java) handles requests for HTTP services via the /webtools/control/httpService endpoint. Both POST and GET requests to the httpService endpoint may contain three parameters: serviceName, serviceMode, and serviceContext. The exploitation occurs by having DOCTYPEs pointing to external references that trigger a payload that returns secret information from the host.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache OFBiz 安全漏洞
漏洞描述信息
Apache OFBiz(又名Apache Open For Business Project)是美国阿帕奇(Apache)软件基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 16.11.01版本至16.11.04版本中存在安全漏洞。攻击者可利用该漏洞获取主机机密信息。
CVSS信息
N/A
漏洞类别
信息泄露