一、漏洞概要
漏洞名称 |
Apache OFBiz服务端请求伪造漏洞(CVE-2024-4 5507) |
发布时间 |
2024年9月5日 |
组件名称 |
Apache-ofbiz |
影响范围 |
Apache OFBiz <18.12.16 |
漏洞类型 |
服务器端伪造请求(SSRF) |
利用条件 |
1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 |
<综合评定利用难度>:容易,能造成远程代码执行。 <综合评定威胁等级>:高危,能造成远程代码执行 |
官方解决方案 |
已发布 |
二、漏洞分析
2.1组件介绍
Apache OFBiz是一套足够灵活的业务应用程序,可以在任何行业中使用。通用架构允许开发人员轻松扩展或增强它以创建自定义功能。
2.2漏洞描述
2024年9月5日,深瞳漏洞实验室监测到一则Apache-ofbiz组件存在服务器端伪造请求(SSRF)漏洞的信息,漏洞编号:CVE-20 24-45507,漏洞威胁等级:高危。
Apache OFBiz存在服务器请求伪造致RCE漏洞。受影响版本中,由于GroovyUtil、ScriptUtil和ScreenFactory类未对加载的资源路径进行有效校验,攻击者可以通过传入URL加载远程的Groovy脚本和Screen资源,触发远程代码执行。
三、影响范围
目前受影响的Apache-ofbiz版本:
Apache OFBiz <18.12.16
