一、漏洞概要
漏洞名称 |
Apache OFBiz远程代码执行漏洞(CVE-2024-472 08) |
发布时间 |
2024年11月19日 |
组件名称 |
ApacheOFBiz |
影响范围 |
Apache OFBiz <18.12.17 |
漏洞类型 |
代码执行 |
利用条件 |
1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 |
<综合评定利用难度>:容易,无需授权即可造成远程代码执行。 <综合评定威胁等级>:高危,能造成远程代码执行 |
官方解决方案 |
已发布 |
二、漏洞分析
2.1组件介绍
Apache OFBiz是一套足够灵活的业务应用程序,可以在任何行业中使用。通用架构允许开发人员轻松扩展或增强它以创建自定义功能。
2.2漏洞描述
2024年11月19日,深瞳漏洞实验室监测到一则Apache OFBiz组件存在代码执行漏洞的信息,漏洞编号:CVE-2024-47208,漏洞威胁等级:高危。
在18.12.17之前版本的OFBiz中,由于权限控制不当,攻击者可以构造恶意请求通过服务端请求伪造(SSRF)的方式执行任意代码,导致服务器失陷。
三、影响范围
目前受影响的Apache OFBiz版本:
Apache OFBiz <18.12.17
四、解决方案
4.1修复建议
1.如何检测组件系统版本
Web界面右下角通常显示当前服务器版本信息
2.官方修复建议
官方已发布最新版本修复该漏洞,请受影响用户将Apache OFBiz更新到18.12.17及以上版本。
下载链接:https://ofbiz.apache.org/download.html
五、参考链接
https://ofbiz.apache.org/security.html https://github.com/apache/ofbiz-framework/commit/2aeb282cd
