>>>> 漏洞名称:
CVE-2024-38856 Apache OFbiz未授权RCE漏洞
>>>> 组件名称:
Apache OFbiz
>>>> 漏洞类型:
远程代码执行漏洞
>>>> 利用条件:
1、用户认证:不需要用户认证
2、触发方式:远程
>>>> 综合评定利用难度:
简单
>>>> 综合评定威胁等级:
高
漏洞描述
1
组件介绍
Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。
2
漏洞描述
Apache OFBiz在处理view视图渲染的时候存在逻辑缺陷,攻击者可通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码。
影响范围
Apache OFBiz <= 18.12.14
修复建议
1
官方修复建议
官方已发布新版本,修复了此漏洞。
https://ofbiz.apache.org/download.html
2
青藤产品解决方案
青藤万相已支持检测。
漏洞时间线
2024年6月4日
向ofbiz上报漏洞
**
**
2024年8月5日
官方发布补丁
-完-
