【漏洞预警】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)的风险提示 |
|
一、背景介绍 近日,Apache OFBiz 路径遍历漏洞(CVE-2024-36104)POC 及技术细节与EXP已在互联网上公开, 鉴于该漏洞影响范围较大,建议尽快做好自查及防护。 1.1 漏洞描述 Apache OFBiz 是⼀个电⼦商务平台,提供了创建基于最新 J2EE/ XML 规范和技术标准,构建电⼦商务类 WEB 应⽤系统的框架。 Apache OFBiz 中存在路径遍历漏洞,漏洞原因在于未充分验证⽤户输⼊的 contextPath 参数,未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。 1.2漏洞编号 CVE-2024-36104 1.3漏洞等级 高危
二、修复建议 2.1 受影响版本 Apache OFBiz < 18.12.14 2.2 修复建议: 目前官方已有可更新版本,建议受影响用户升级至最新版本。 官方补丁下载地址:https://ofbiz.apache.org/download.html
|
Copyright © 2014 East China University Science and Technology. All rights reserved 版权所有 © 2014 华东理工大学信息化办公室 |