Apache OfBiz 中的 0day 漏洞 CVE-2023-51467

阅读量112613

发布时间 : 2023-12-29 11:18:20

您应尽快更新,以免企业信息泄露。

图像

广泛用于企业资源规划 ( ERP )Apache OfBiz系统 中发现了一个严重的零日漏洞。它允许您绕过身份验证系统,并使许多企业面临网络攻击的真正风险。

 SonicWall 研究团队发现了一个 名为 CVE-2023-51467的漏洞 。该问题与登录功能有关,是由于对先前的关键漏洞CVE-2023-49070 的修复不完整造成的 ,该修复已于本月早些时候发布。

 CVE-2023-49070 是一个未经身份验证的远程代码执行漏洞。它影响 12.18.10 之前的版本,并可能导致服务器完全控制和机密数据被盗。该问题是由 Apache OFBiz 中已弃用的 XML-RPC 组件引起的。

 CVE-2023-51467 HTTP 请求中的空或无效的 USERNAME PASSWORD 参数触发,导致身份验证成功消息。这使得攻击者能够访问内部资源。

 该攻击依赖于 URL 中设置为“Y”(是)的“requirePasswordChange”参数,这使得无论提供的用户和密码信息如何,都可以绕过身份验证。

 美国国家漏洞数据库 ( NVD ) 指出,该漏洞允许绕过身份验证并导致服务器端请求伪造 ( SSRF ) 漏洞。

 强烈建议 Apache OFbiz 用户更新到版本 18.12.11 或更高版本,以减轻潜在威胁。

本文转载自:

如若转载,请注明出处:

安全KER - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66