严重

Apache OFBiz groovy 远程代码执行漏洞

披露时间：

2023-12-26

更新时间：

2025-03-24

CT 编号

CT-1015550

CVE 编号

CVE-2023-51467

CNVD 编号

CNVD-2024-01013

CNNVD 编号

CNNVD-202312-2291

原理分类

逻辑漏洞

漏洞评分

9.8

漏洞描述

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。
2023年12月，官方发布新版本修复了 CVE-2023-51467 Apache OFBiz groovy 远程代码执行漏洞。攻击者可构造恶意请求绕过身份认证，利用后台相关接口功能执行groovy代码，执行任意命令，控制服务器。建议尽快修复漏洞。

漏洞危害

1、如果被攻击者利用，可直接getshell；
2、如果被攻击者利用，可被用于内网信息收集，扫描目标内网主机；
3、如果被攻击者利用，可攻击运行在内网或本地的应用程序；
4、如果被攻击者利用，可被用作攻击跳板；

修复方法

将 Apache OFBiz 更新到最新的安全修补版本。
对于 Trunk 版本，应用来自提交 fb51a0ea5c4f7ff95b1586a5ca1c26e1ec50736f 的修复。
对于 22.01 版本，应用来自提交 47e7959065b82b170da5c330ed5c17af16415ede 的修复。
对于 18.12 版本，应用来自提交 d8b097f6717a4004acf023dfe929e0e41ad63faa 的修复，并升级到 18.12.11 版本。
对于 17.12 版本，应用来自提交 e9bfc34f39899bf63f5348692b15db5f9eb2cbbf 的修复。
更多修复信息可参考 https://www.openwall.com/lists/oss-security/2023/12/26/3 或官方 Apache OFBiz 安全公告页面。

参考链接

http://www.openwall.com/lists/oss-security/2023/12/26/3

https://issues.apache.org/jira/browse/OFBIZ-12873

https://lists.apache.org/thread/9tmf9qyyhgh6m052rhz7lg9vxn390bdv

https://lists.apache.org/thread/oj2s6objhdq72t6g29omqpcbd1wlp48o

https://ofbiz.apache.org/download.html

https://ofbiz.apache.org/release-notes-18.12.11.html

https://ofbiz.apache.org/security.html

https://www.openwall.com/lists/oss-security/2023/12/26/3

https://www.vicarius.io/vsociety/posts/apache-ofbiz-authentication-bypass-vulnerability-cve-2023-49070-and-cve-2023-51467

长亭百川云

长亭百川云

长亭百川云

长亭百川云

Apache OFBiz groovy 远程代码执行漏洞