关联漏洞
标题:
Apache OFBiz 安全漏洞
(CVE-2024-38856)
描述:Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 18.12.14及之前版本存在安全漏洞,该漏洞源于存在授权错误漏洞,从而导致未经身份验证的端点可执行屏幕渲染代码。
描述
CVE-2024-38856 是 Apache OFBiz 中的一个严重漏洞,允许未经身份验证的攻击者在受影响的系统上执行任意代码。
介绍
# cveCVE-2024-38856-poc
CVE-2024-38856 是 Apache OFBiz 中的一个严重漏洞,允许未经身份验证的攻击者在受影响的系统上执行任意代码。
**漏洞原理:**
该漏洞源于 Apache OFBiz 的授权机制存在缺陷。具体而言,某些未经过身份验证的端点允许执行屏幕渲染代码,前提是这些屏幕定义未明确检查用户权限,而是依赖于其端点的配置。 攻击者可以通过精心构造的请求,利用这些未受保护的端点,绕过身份验证,执行任意代码。
**危害:**
成功利用此漏洞的攻击者可以在目标系统上执行任意代码,导致以下严重后果:
- **系统完全控制:** 攻击者可能获得对受影响服务器的完全控制权,执行任意操作。
- **数据泄露:** 未经授权的访问可能导致敏感数据的泄露。
- **服务中断:** 攻击者可能破坏系统功能,导致服务不可用。
- **恶意软件部署:** 攻击者可能在受影响的系统上安装恶意软件,进一步扩大攻击范围。
鉴于该漏洞的严重性(CVSS 基本评分为 9.8),强烈建议所有使用 Apache OFBiz 的用户立即将其更新至版本 18.12.15,以修复此漏洞。
文件快照
[4.0K] /data/pocs/7a592ac060f5004e408a052db46b12e0eb5beede
├── [2.1K] CVE-2024-38856-poc.py
├── [ 11K] LICENSE
└── [1.3K] README.md
0 directories, 3 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。