Apache OFBiz任意文件读取与远程代码执行漏洞(CVE-2023-50968/CVE-2023-51467)通告

一、漏洞概述

近日,绿盟科技CERT监测到Apache官方发布安全公告,修复了Apache Ofbiz中的两个高危漏洞;CVE-2023-50968:由于Apache Software Foundation中存在问题,未经授权的攻击者操作 uri 调用时,可实现文件读取与SSRF攻击;CVE-2023-51467:由于Apache Ofbiz存在一个权限校验逻辑错误,攻击者可以通过构造特定请求绕过登录验证访问后端接口进行服务器端请求伪造(SSRF),结合后台相关功能可实现远程代码执行。

Apache Ofbiz 是一个开源的企业资源计划系统。Apache XML-RPC 是 XML-RPC 的 Java 实现,XML-RPC 是一种使用 XML over HTTP 来实现远程过程调用的协议。

参考链接:

https://www.mail-archive.com/announce@apache.org/msg08797.html

https://www.mail-archive.com/announce@apache.org/msg08796.html

二、影响范围

受影响版本

  • Apache Ofbiz <= 18.12.10

不受影响版本

  • Apache Ofbiz >= 18.12.11

三、漏洞防护

  • 官方升级

目前官方已发布新版本修复了上述漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://ofbiz.apache.org/download.html

  • 其他防护措施

若相关用户暂时无法进行升级操作,也可在不影响业务的前提下对受影响系统进行访问限制。

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author