一、背景介绍
近日,Apache OFBiz 路径遍历漏洞(CVE-2024-36104)POC 及技术细节与EXP已在互联网上公开, 鉴于该漏洞影响范围较大,建议尽快做好自查及防护。
1.1 漏洞描述
Apache OFBiz 是⼀个电⼦商务平台,提供了创建基于最新 J2EE/ XML 规范和技术标准,构建电⼦商务类 WEB 应⽤系统的框架。
Apache OFBiz 中存在路径遍历漏洞,漏洞原因在于未充分验证⽤户输⼊的 contextPath 参数,未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。
1.2漏洞编号
CVE-2024-36104
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache OFBiz < 18.12.14
2.2 修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
官方补丁下载地址:https://ofbiz.apache.org/download.html
