新华三盾山实验室监测到Apache官方发布了安全公告,修复了一个存在于OFBiz中的一个远程代码执行漏洞(CVE-2023-49070),攻击者可利用该漏洞执行任意代码。 1.2漏洞详情 由于Apache OFBiz XML-RPC存在历史的反序列化漏洞(CVE-2020-9496)(未修复,XML-RPC官方不再维护),未经身份验证的恶意攻击者通过构造特殊请求,成功利用...
2023年12月,官方发布新版本修复了CVE-2023-49070 Apache Ofbiz xmlrpc 代码执行漏洞。官方已于4月主分支代码中删除XML-RPC组件,但直至18.12.10正式发布才废除XML-RPC接口。攻击者能够利用该漏洞获取服务器权限,建议尽快修复漏洞。 ▌漏洞详情 早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞(CVE-2020-9496),问...
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。
--->漏洞描述 2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XMLRPC 中的恶意请求,存在绕过。2023年四月,彻底删除xmlrpc handler 以避免同类型的漏洞产生尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。
Apache OFBiz是一个广泛用于构建企业级电子商务系统的平台。2023年12月,官方发布新版本,修复了CVE-2023-49070漏洞,此漏洞与Apache OFBiz中的XML-RPC代码执行有关。官方在4月就已从主分支代码中移除了XML-RPC组件,直至18.12.10正式发布时才完全废除了XML-RPC接口。攻击者通过利用此漏洞可能获取服务器...
2023年12月,官方发布新版本修复了CVE-2023-49070 Apache Ofbiz xmlrpc 代码执行漏洞。官方已于4月主分支代码中删除XML-RPC组件,但直至18.12.10正式发布才废除XML-RPC接口。Apache Ofbiz 18.12.10之前版本存在代码注入漏洞,该漏洞源于存在预授权远程执行代码(RCE)漏洞。@Date:2023-12-04...
Apache ofbiz 存在反序列化漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc http请求,可以造成远程代码执行的影响。 漏洞影响版本 ApacheOfbiz:<17.12.04 环境搭建 本次环境使用vulhub搭建 dockerpull andyjunghans/ofbizdocker run -p 8080:8080 -p8443:8443 andyjunghans/ofbiz ...
根据这个yaml,可以了解到,当post一个xml的poc过去后,如果返回包里同时存在faultString,No such service [ProjectDiscovery],methodResponse证明有漏洞存在。 0x04 漏洞分析# 根据/webtools/control/xmlrpc可知,我们去看webtools下的源码,来到webapp目录下的web.xml查看路由情况。
【APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析】相关的重点类和方法: org.apache.xmlrpc.parser.SerializableParser 包含序列化代码; org.apache.ofbiz.webapp.control.RequestHandler...