-赛博昆仑漏洞安全通告-
漏洞描述
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
近日,赛博昆仑CERT监测到 Apache OFBiz 未授权远程代码执行漏洞的漏洞情报。攻击者能够利用此漏洞未授权获取远程服务器权限。
漏洞名称 | Apache OFBiz 未授权远程代码执行漏洞 | ||
漏洞公开编号 | CVE-2023-49070 | ||
昆仑漏洞库编号 | CYKL-2023-018602 | ||
漏洞类型 | 代码执行 | 公开时间 | 2023-12-05 |
漏洞等级 | 高危 | 评分 | 9.8 |
漏洞所需权限 | 无权限要求 | 漏洞利用难度 | 低 |
PoC状态 | 未知 | EXP状态 | 未知 |
漏洞细节 | 未知 | 在野利用 | 未知 |
Apache Ofbiz < 18.12.10
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:
复现版本为 Apache Ofbiz 18.12.09,执行 calc 作为证明。
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
https://ofbiz.apache.org/index.html