一、 漏洞 CVE-2023-49070 基础信息
漏洞标题
由于 XML-RPC 仍然存在,在 Apache Ofbiz 18.12.09 中存在预授权 RISCE。
来源:AIGC 神龙大模型
漏洞描述信息
在Apache Ofbiz 18.12.09 中预先认证 RCE。 这是因为 XML-RPC 不再维护但仍然存在。 此问题会影响 Apache OFBiz:在 18.12.10 之前。 建议用户升级到版本 18.12.10。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:AIGC 神龙大模型
漏洞标题
Pre-auth RCE in Apache Ofbiz 18.12.09 due to XML-RPC still present
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Pre-auth RCE in Apache Ofbiz 18.12.09. It's due to XML-RPC no longer maintained still present. This issue affects Apache OFBiz: before 18.12.10.  Users are recommended to upgrade to version 18.12.10
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache OFBiz 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache Ofbiz 18.12.10之前版本存在代码注入漏洞,该漏洞源于存在预授权远程执行代码(RCE)漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-49070 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/abdoghazy2015/ofbiz-CVE-2023-49070-RCE-POC POC详情
2 Exploit Of Pre-auth RCE in Apache Ofbiz!! https://github.com/0xrobiul/CVE-2023-49070 POC详情
3 A Tool For CVE-2023-49070/CVE-2023-51467 Attack https://github.com/D0g3-8Bit/OFBiz-Attack POC详情
4 Authentication Bypass Vulnerability Apache OFBiz < 18.12.10. https://github.com/UserConnecting/Exploit-CVE-2023-49070-and-CVE-2023-51467-Apache-OFBiz POC详情
5 CVE-2023-49070 exploit and CVE-2023-49070 & CVE-2023-51467 vulnerability scanner https://github.com/yukselberkay/CVE-2023-49070_CVE-2023-51467 POC详情
6 This exploit scans whether the provided target is vulnerable to CVE-2023-49070/CVE-2023-51467 and also exploits it depending on the choice of the user. https://github.com/Praison001/Apache-OFBiz-Auth-Bypass-and-RCE-Exploit-CVE-2023-49070-CVE-2023-51467 POC详情
三、漏洞 CVE-2023-49070 的情报信息