漏洞名称:Apache OFbiz /ProgramExport 命令执行漏洞(CVE-2024-38856)
English Name:Apache OFbiz /ProgramExport Command Execution Vulnerability(CVE-2024-38856)
CVSS core: 9.0
漏洞描述:
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。
Apache OFBiz在处理view视图渲染的时候存在逻辑缺陷,攻击者可通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码。
FOFA查询规则:
app=“Apache_OFBiz”
受影响资产数量: 2,728
受影响版本:
Apache OFBiz <= 18.12.14
解决方案:
厂商已发布了漏洞修复程序,请及时关注更新
漏洞检测工具:
【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:
