Apache ofbiz -CVE-2023-49070-RCE-POC

Apache ofbiz -CVE-2023-49070-RCE-POC
2023-12-16 15:43:50 Author: Ots安全(查看原文) 阅读量:30 收藏

描述

Apache Ofbiz 18.12.09 中的预授权 RCE。这是由于 XML-RPC 不再维护而仍然存在。此问题影响 Apache OFBiz：2010 年 12 月 18 日之前。建议用户升级至18.12.10版本

ofbiz-CVE-2023-49070-RCE-POC

这是 CVE-2023-49070 的预授权 RCE POC，影响了 Apache ofbiz 应用程序 https://github.com/advisories/GHSA-9rm6-p86c-42xm

更多信息请参考：10.12.10 由于 xml-rpc java 反序列化错误。

dockered 易受攻击的 ofbiz 镜像：

https://hub.docker.com/r/marcopinball/ofbiz-demo

您必须从这里下载 ysoserial-all.jar

wget https://github.com/frohoff/ysoserial/releases/latest/download/ysoserial-all.jar

远程代码执行POC

请在虚拟测试环境食用 - 项目地址：

https://github.com/abdoghazy2015/ofbiz-CVE-2023-49070-RCE-POC?tab=readme-ov-file

感谢您抽出

来阅读本文

点它，分享点赞在看都在这里

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247503305&idx=1&sn=8a801b422046350831400b8a5bcc9694&chksm=9a322f860a8d363a7e153dbd63096d9dfefa3c9d40b2942ab3a0f145fd33efb8a278185eeed6&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh