Apache OFBiz 未经身份验证的远程代码执行(CVE-2024-45195)

主要观点总结

本文介绍了Apache OFBiz平台存在的CVE-2024-45195漏洞，包括组件介绍、漏洞描述、影响版本、环境搭建、漏洞原理、漏洞验证、漏洞影响和修复建议等内容。

关键观点总结

关键观点1: Apache OFBiz平台介绍

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

关键观点2: CVE-2024-45195漏洞描述

2024年9月，官方发布新版本修复了CVE-2024-45195 Apache OFBiz 未经身份验证的远程代码执行漏洞。低于 18.12.16 的 Apache OFBiz 容易受到 Linux 和 Windows 上未经身份验证的远程代码执行攻击。

关键观点3: 环境搭建和漏洞影响版本

目前环境搭建较麻烦，建议选择最近的版本18.12.15。影响版本为Apache OFBiz < 18.12.16。

关键观点4: 漏洞原理和影响

攻击者可以利用该漏洞绕过授权逻辑，通过请求获取未经授权的敏感信息以及写入文件进一步获取服务器权限。通过攻击者可以利用另一个视图XmlDsDump来利用应用程序，而无需进行身份验证。漏洞危害性高，且Apache OFBiz 被许多大型组织使用。

关键观点5: 漏洞验证过程

通过发送特定的payload，可以在common目录下生成一个包含所有用户名、密码的文本文件，验证是否成功。还可以通过该漏洞写入webshell，进一步执行任意代码。

关键观点6: 修复建议

建议升级至18.12.16及其以上版本。同时，可以采取一些临时措施，如限制访问来源，加强系统安全。

免责声明