首页 > 其他分享 >Goby 漏洞发布|(CVE-2024-45195)Apache OFBiz /viewdatafile 代码执行漏洞【已复现】

Goby 漏洞发布|(CVE-2024-45195)Apache OFBiz /viewdatafile 代码执行漏洞【已复现】

时间:2024-09-10 18:15:06浏览次数:12  
标签:viewdatafile 漏洞 代码执行 Apache Goby OFBiz

漏洞名称:Apache OFBiz /viewdatafile 代码执行漏洞(CVE-2024-45195)

English Name:Apache OFBiz /viewdatafile Code Execution Vulnerability(CVE-2024-45195)

CVSS core: 8.0

漏洞描述:

Apache OFBiz是一个开源企业资源规划(ERP)系统。它提供了一套企业应用程序,集成并自动化企业的许多业务流程。

Apache OFBiz 存在远程代码执行漏洞,远程攻击者可通过控制请求从而写入恶意文件获取服务器权限。

FOFA自检语句:

app="Apache_OFBiz"

受影响资产数量: 2,733

受影响版本:

Apache OFBiz 18.12.00 到 18.12.12
Apache OFBiz 17.12.00 到 17.12.10

解决方案:

1.立即更新到最新的修复版本(18.12.13 或 17.12.11)。
2.如果无法立即更新,可以考虑在网络层面进行防护,如使用Web应用防火墙(WAF)来过滤恶意请求。
3.限制对 /viewdatafile 端点的访问,只允许受信任的IP地址或用户访问。

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞验证效果如图所示:
在这里插入图片描述

了解Goby

Goby预置了最具实战化效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞。Goby也提供了可以自定义的漏洞检查框架,发动了互联网的大量安全从业者贡献POC,保证持续的应急响应能力,目前已收录1900+POC。

获取Goby:获取Goby

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

标签:viewdatafile,漏洞,代码执行,Apache,Goby,OFBiz
From: https://www.cnblogs.com/gobybot/p/18406898

相关文章

  • 【漏洞复现】华三 H3C IMC 智能管理中心 /byod/index.xhtml RCE
    免责声明:        本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规......
  • 【漏洞复现】用友 U8CRM /pub/help.php 任意文件读取漏洞
    免责声明:        本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规......
  • Web安全与网络安全:SQL漏洞注入
    Web安全与网络安全:SQL漏洞注入引言在Web安全领域,SQL注入漏洞(SQLInjectionVulnerability)是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段,从而操纵后台数据库系统,执行未授权的数据库查询,甚至可能获取数据库管理权......
  • 基础漏洞
    目录目录目录一、暴力破解漏洞描述无防护措施锁定机制验证码绕过二、xss漏洞(跨站脚本攻击)分类反射型(非持续型)攻击步骤存储型(持续型)攻击步骤DOM型危害三、CSRF漏洞(跨站请求伪造)四、SQL注入漏洞描述注入分类SQL注入分类及判断判断是否存在Sql注入漏洞判断Sql注入漏洞的类型数字......
  • C10-04-1-历史漏洞环境搭建和练习
    一、TomcatPUT方法任意写文件漏洞(CVE-2017-12615)1.1漏洞原理ApacheTomcat7.0.0版本至7.0.79版本存在远程代码执行漏洞。当上述版本的Tomcat启用HTTPPUT请求方法时,远程攻击者可以构造恶意请求利用该漏洞向服务器上传包含任意代码执行的jsp文件,并被服务器执行该文件,导致......
  • 【漏洞复现】易天智能eHR CreateUser 存在任意用户添加漏洞
    》》》漏洞描述《《《       易天智能eHR管理平台是一款功能全面、智能化的人力资源管理软件,旨在帮助企业提高人力资源管理效率和管理水平。该平台通过集成员工信息、薪酬管理、档案人事管理、绩效管理和招聘管理等多个模块,实现了人力资源管理的全面智能化管理。  ......
  • Web中的文件上传漏洞(中间件)
    1.前言: 漏洞参考地址:Vulhub-Docker-Composefileforvulnerabilityenvironment2.正文:1.1IIS漏洞利用版本:IIS67iis漏洞其实就是利用了其解析特性。1.目录解析漏洞:在IIS中,如果你的文件夹带有asp等可以执行的结尾,那么此文件夹中的所有文件都会被当成asp文件进行执......
  • 9月第一周漏洞学习
    蜂信物联(FastBee)物联网平台download存在任意文件下载漏洞漏洞描述FastBee是一款开源物联网平台,致力于为全球开发者提供稳定、搞笑的物联网解决方案。FastBee在download接口中存在任意文件下载漏洞,可能导致敏感信息泄露、数据盗窃及其他安全风险,从而对系统和用户造成严重危害fof......
  • discuz3.4文件包含漏洞
    首先查看修复:可以看到新增代码preg_match("/^[\w-]+\.php$/i",$parse['path']))来验证path是否为php文件,这个应该是修复路径遍历导致的文件读取漏洞。还有require'./'.$_ENV['curapp'].'.php';这里应该是另外一个漏洞,因为$parse['path']和$_ENV['curapp'......
  • LiteSpeed Cache 漏洞导致 600 万个 WordPress 网站遭受管理员接管
    LiteSpeedCache插件中存在一个严重的帐户接管漏洞,影响了超过600万个WordPress网站,该漏洞已于昨天通过6.5.0.1版发布进行修复。该漏洞允许未经身份验证的用户利用调试日志缺陷接管已登录的帐户,包括具有管理员权限的帐户。Patchstack的安全研究员RafieMuhammad在......