新华三盾山实验室监测到Apache官方发布了安全公告,修复了一个存在于OFBiz中的一个远程代码执行漏洞(CVE-2023-49070),攻击者可利用该漏洞执行任意代码。 1.2漏洞详情 由于Apache OFBiz XML-RPC存在历史的反序列化漏洞(CVE-2020-9496)(未修复,XML-RPC官方不再维护),未经身份验证的恶意攻击者通过构造特殊请求,成功利用...
序列化数据由””和””XML元素包裹来表示,在Apache OFBiz中,序列化代码在org.apache.xmlrpc.parser.SerializableParser这个Java类中实现。 但是,Apache OFBiz中存在一个不安全的反序列化漏洞,这个漏洞是由于OFBiz被配置为在发送到“/webtools/control/xmlrpc”URL时使用XML-RPC拦截和转换HTTP主体中的XML数据所导致的。...
2021年,增加 Filter 用于拦截 XMLRPC 中的恶意请求,存在绕过。2023年四月,彻底删除xmlrpc handler 以避免同类型的漏洞产生尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。 流量分析: 攻击者利用这个漏洞时,会发送包含用户名和密码的 HTTP 请求...
2023年12月,官方发布新版本修复了CVE-2023-49070 Apache Ofbiz xmlrpc 代码执行漏洞。官方已于4月主分支代码中删除XML-RPC组件,但直至18.12.10正式发布才废除XML-RPC接口。攻击者能够利用该漏洞获取服务器权限,建议尽快修复漏洞。 ▌漏洞详情 早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞(CVE-2020-9496),问...
1、漏洞概述 Apache ofbiz 存在反序列化漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc http请求,攻击者利用这个漏洞可以在目标服务器上执行任意命令。 2、影响版本 Apache Ofbiz:< 17.12.04 3、漏洞详情 XML-RPC是一种远程过程调用(RPC)协议,它使用XML对其调用进行编码,并使用HTTP作为传输机制。通过Internet进行...
但是,Apache OFBiz中存在一个不安全的反序列化漏洞,这个漏洞是由于OFBiz被配置为在发送到“/webtools/control/xmlrpc”URL时使用XML-RPC拦截和转换HTTP主体中的XML数据所导致的。发送到此端点的请求最初由org.apache.ofbiz.webapp.control.RequestHandler这个Java类来处理,它确定的URL的映射方式。接下来,org.apache.ofb...
但是,Apache OFBiz中存在一个不安全的反序列化漏洞,这个漏洞是由于OFBiz被配置为在发送到“/webtools/control/xmlrpc”URL时使用XML-RPC拦截和转换HTTP主体中的XML数据所导致的。发送到此端点的请求最初由org.apache.ofbiz.webapp.control.RequestHandler这个Java类来处理,它确定的URL的映射方式。接下来,org.apache.ofb...
APACHE OFBIZ XMLRPC远程代码执行漏洞分析 近期,研究人员报告了一个存在于Apache OFBiz中的反序列化漏洞。这个漏洞是由多个Java反序列化问题所导致的,当代码在处理发送至/webtools/control/xmlrpc的请求时,便有可能触发该漏洞。未经认证的远程攻击者将能够通过发送精心构造的恶意请求来触发并利用该漏洞,并实现任意代码...
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2023年12月,官方发布新版本修复了CVE-2023-49070 Apache Ofbiz xmlrpc 代码执行漏洞。官方已于4月主分支代码中删除XML-RPC组件,但直至18.12.10正式发布才废除XML-RPC接口。攻击者能够利用该...