【漏洞预警】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)的风险提示

发布者:李雪娇发布时间:2024-06-06浏览次数:10

一、背景介绍

近日,Apache OFBiz 路径遍历漏洞(CVE-2024-36104)POC 及技术细节与EXP已在互联网上公开, 鉴于该漏洞影响范围较大,建议尽快做好自查及防护。

1.1 漏洞描述

Apache OFBiz 是⼀个电⼦商务平台,提供了创建基于最新 J2EE/ XML 规范和技术标准,构建电⼦商务类 WEB 应⽤系统的框架。

Apache OFBiz 中存在路径遍历漏洞,漏洞原因在于未充分验证⽤户输⼊的 contextPath 参数,未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。

1.2漏洞编号

CVE-2024-36104

1.3漏洞等级

高危

 

二、修复建议

2.1 受影响版本

Apache OFBiz < 18.12.14

2.2 修复建议:

目前官方已有可更新版本,建议受影响用户升级至最新版本。

官方补丁下载地址:https://ofbiz.apache.org/download.html