亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Apache OFBiz路徑遍歷漏洞 (CVE-2024-36104) 安全風險通告

責編:gltian |2024-06-06 17:30:37
漏洞概述
漏洞名稱 Apache OFBiz 路徑遍歷漏洞
漏洞編號 QVD-2024-21464,CVE-2024-36104
公開時間 2024-06-02 影響量級 萬級
奇安信評級 高危 CVSS 3.1分數(shù) 9.8
威脅類型 代碼執(zhí)行 利用可能性
POC狀態(tài) 已公開 在野利用狀態(tài) 未發(fā)現(xiàn)
EXP狀態(tài) 已公開 技術細節(jié)狀態(tài) 已公開
危害描述:未授權的攻擊者可以通過構造惡意請求繞過認證,進?訪問系統(tǒng)中的敏感接口,造成任意代碼執(zhí)行。

01?漏洞詳情

影響組件

Apache OFBiz是?個著名的電?商務平臺,提供了創(chuàng)建基于最新 J2EE/ XML規(guī)范和技術標準,構建?中型企業(yè)級、跨平臺、跨數(shù)據(jù)庫、跨應?服務器的多層、分布式電?商務類WEB應?系統(tǒng)的框架。

漏洞描述

近日,奇安信CERT監(jiān)測到Apache OFBiz 路徑遍歷漏洞(CVE-2024-36104)?在互聯(lián)網(wǎng)上公開,未授權的攻擊者可以通過構造惡意請求繞過認證,進?訪問系統(tǒng)中的敏感接口,造成任意代碼執(zhí)行。目前該漏洞技術細節(jié)與EXP已在互聯(lián)網(wǎng)上公開,鑒于該漏洞影響范圍較大,建議客戶盡快做好自查及防護。

02?影響范圍

影響版本

Apache OFBiz < 18.12.14

其他受影響組件

03?復現(xiàn)情況

目前,奇安信威脅情報中心安全研究員已成功復現(xiàn)Apache OFBiz 路徑遍歷漏洞(CVE-2024-36104),截圖如下:

04?處置建議

安全更新

目前官方已有可更新版本,建議受影響用戶升級至最新版本:

Apache OFBiz >= 18.12.14

官方補丁下載地址:https://ofbiz.apache.org/download.html

05?參考資料

[1]https://ofbiz.apache.org/security.html

[2]https://issues.apache.org/jira/browse/OFBIZ-13092

[3]https://github.com/apache/ofbiz-framework/commit/d33ce31012

[4]https://github.com/apache/ofbiz-framework/commit/474e806816

來源:奇安信 CERT

上一篇:谷歌意外泄露內部文檔,被指欺騙SEO行業(yè)多年

下一篇:電動戰(zhàn)車的網(wǎng)絡安全問題