【复现】Apache OFBiz 未授权远程代码执行漏洞(CVE-2023-49070)风险通告
2023-12-6 11:8:42 Author: 赛博昆仑CERT(查看原文) 阅读量:166 收藏

-赛博昆仑漏洞安全通告-

Apache OFBiz 未授权远程代码执行漏洞(CVE-2023-49070)风险通告

漏洞描述

OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

近日,赛博昆仑CERT监测到 Apache OFBiz 未授权远程代码执行漏洞的漏洞情报。攻击者能够利用此漏洞未授权获取远程服务器权限。

漏洞名称

Apache OFBiz 未授权远程代码执行漏洞

漏洞公开编号

CVE-2023-49070

昆仑漏洞库编号

CYKL-2023-018602

漏洞类型

代码执行

公开时间

2023-12-05

漏洞等级

高危

评分

9.8

漏洞所需权限

无权限要求

漏洞利用难度

PoC状态

未知

EXP状态

未知

漏洞细节

未知

在野利用

未知

影响版本

Apache Ofbiz < 18.12.10

利用条件
无需任何利用条件。
漏洞复现

目前赛博昆仑CERT已确认漏洞原理,复现截图如下:
      复现版本为 Apache Ofbiz 18.12.09,执行 calc 作为证明。

防护措施
  • 修复措施
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
      下载地址:https://ofbiz.apache.org/download.html
技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT
参考链接

https://ofbiz.apache.org/index.html

时间线
2023年12月05日,官方发布通告
2023年12月06日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484466&idx=1&sn=30695322575c70e901711c9651186a09&chksm=c12af9b3f65d70a52ddfffc244ebb1c42d213c33f1f00212a2dadc138965081bf3db62b63f76&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh