防护验证通告|Apache OFBiz 未授权访问致代码执行漏洞(CVE-2024-38856)
防护验证通告|Apache OFBiz 未授权访问致代码执行漏洞(CVE-2024-38856)
原创 知其安安全研究院 知其安科技 2024-08-06 22:02
0x1
描述
Apache OFBiz是由Apache软件基金会维护的顶级项目。它是一个100%开源的企业资源管理(ERP)解决方案,基于最新的J2EE/XML规范和技术标准,适用于大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统。
近日,知其安监测到Apache OFBiz 未授权访问致代码执行漏洞(CVE-2024-38856)在未经身份认证的情况下,可以通过该漏洞在服务器上执行任意代码,从而获取服务器权限。目前该漏洞的POC代码已公开。
披露时间:2024年08月05日
影响版本:Apache OFBiz <= 18.12.14
利用条件:
无需身份认证
利用难度:
较低
0x2 防护建议
目前官方已有更新的版本,建议升级至最新安全版本 https://ofbiz.apache.org/download.html。
建议及时进行验证相关防护设备是否具备拦截检测能力,并更新防护规则。
0x3 知其安验证支持
知其安离朱安全验证平台,对该漏洞利用快速上线了验证规则,可以支持自动化验证WAF/IPS/NTA/IDS对该漏洞的拦 截检测能力。
0x4 常见WAF的验证
知其安对26款常见WAF进行了拦截测试验证,截至目前有5款WAF默认规则状态下可有效拦截。
| WAF总数 |
可拦截的WAF |
无法拦截的WAF | 验证时间 |
|---|---|---|---|
|
26款 |
5款 |
21款 |
2024.08.05 |
漏洞参考链接:
[1] https://issues.apache.org/jira/browse/OFBIZ-13128
[2] https://ofbiz.apache.org/security.html
国内安全验证的开创者和领军者
北京知其安科技有限公司创立于2021年8月,是一家致力于技术和产品创新驱动的新一代网络安全企业。创始人聂君是国内安全运营最早的提出者和实践者,被誉为“安全运营四杰”。创始团队具备丰富的甲方安全运营实践经验,拥有二十余项网络安全技术专利,具备优秀的自主创新和研发能力。旗下的“离朱-安全验证平台”,率先在国内提出并推广“安全验证”理念,是国内首个自主创新大规模商业化落地的网络安全能力验证平台,产品已服务近百家金融、央企、智能制造、互联网等客户,累计PoC测试用户超600家,在行业中获得较好的用户反馈和评价。
精彩回顾
|
|
|
|
|
|
|
|