腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-28231(CVE编号:CVE-2023-51467,CNNVD编号:CNNVD-202312-2291)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Apache OFBiz是一个开源的企业资源计划(ERP)系统,由Apache软件基金会开发和维护。它提供了一套全面的业务解决方案,包括电子商务,客户关系管理,仓库管理,订单管理,库存管理等功能。OFBiz的强大之处在于其高度的可定制性和扩展性,可以根据企业的具体需求进行定制和扩展,满足各种复杂的业务场景。
if (username == null || (password == null && token==null)
USERNAME=&PASSWORD=s&requirePasswordChange=Y
来绕过权限认证,进而执行Grovvy命令,最终实现远程代码执行。
风险等级:
影响版本:
Apache OFBiz < 18.12.11
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://ofbiz.apache.org/download.html
在不影响业务的情况下配置访问控制策略,避免/webtools/control/ProgramExport接口暴露至公网。
漏洞利用可能性变化趋势:
- 2024.1.3号,漏洞PoC和EXP公开
腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-26330(CVE编号:CVE-2023-49070, CNNVD编号: CNNVD-202312-425)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
据描述,该漏洞源于OFBiz使用了有反序列化漏洞且不再维护的的XML-RPC组件,攻击者可以通过精心构造的请求从而绕过针对/control/xmlrpc的接口过滤限制,使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。
漏洞状态:
风险等级:
影响版本:
Apache OFBiz < 18.12.10
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://ofbiz.apache.org/download.html
- 在不影响正常系统功能和业务的前提下,禁用xmlrpc接口。
- 限制xmlrpc接口访问,避免将该接口开放至公网。
腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2023-28224(CVE编号:CVE-2023-50968,CNNVD编号:CNNVD-202312-2286)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
if (username == null || (password == null && token==null)
USERNAME=&PASSWORD=s&requirePasswordChange=Y
绕过权限认证,随后向webtools/control/getJSONuiLabelArray接口发送特制请求,最终读取配置文件或进行服务器端请求伪造(SSRF)攻击。
漏洞状态:
风险等级:
影响版本:
Apache OFBiz < 18.12.11
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
- 在不影响业务的情况下配置访问控制策略,避免/webtools/control/getJSONuiLabelArray接口暴露至公网。
概述:
腾讯安全近期监测到Apache 官方发布了关于Struts的风险公告,漏洞编号为TVD-2023-26445(CVE编号:CVE-2023-50164,CNNVD编号:CNNVD-202312-546)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Struts是一个流行的开源Java Web应用框架,由Apache软件基金会开发和维护。它采用MVC(模型-视图-控制器)设计模式,帮助开发者更轻松地构建可扩展、可维护的Web应用程序。Struts2提供了丰富的标签库、拦截器和插件等功能,以便于开发者实现各种Web应用需求,同时降低了开发复杂度和提高了代码重用性。
据描述,该漏洞源于Struts文件上传逻辑存在缺陷,攻击者可以利用该漏洞进行路径遍历,从而上传恶意文件到服务器的任意位置,最终导致远程命令执行。
6.0.0 <= Apache Struts < 6.3.0.2
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://struts.apache.org/download.cgi
- 避免将无需授权的文件上传路径暴露至公网。
- 在文件上传位置集成一个拦截器,对上传的文件进行验证。
概述:
腾讯安全近期监测到Atlassian官方发布了关于Confluence Data Center and Confluence Server的风险公告,漏洞编号为TVD-2023-26385(CVE编号:CVE-2023-22522,CNNVD编号:CNNVD-202312-479)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Confluence是一款由Atlassian公司开发的企业级协作软件,它提供了一个集中式的平台,让团队成员能够共享知识、创建、编辑和协作文档。Confluence具有强大的页面编辑器、模板功能和丰富的插件,可以帮助企业实现高效的项目管理、知识库维护和团队协作,提高整体生产力。
据描述,Confluence Data Center and Server受影响版本中存在模版注入漏洞,允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将恶意代码注入到 Confluence中,最终实现远程代码执行。
漏洞状态:
风险等级:
影响版本:
4.0.0 <= Confluence Data Center and Server < 7.19.7
8.0.0 <= Confluence Data Center and Server < 8.4.5
8.5.0 <= Confluence Data Center and Server < 8.5.4
8.6.0 <= Confluence Data Center < 8.6.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html
- 通过网络ACL策略限制访问来源,将实例设置为不允许匿名访问。
- 不将实例暴露至公网。
注意:如Confluence 站点托管在Atlassian Cloud(域名为atlassian.net),则不受此漏洞影响。
概述:
腾讯安全近期监测到Apache 官方发布了关于Dubbo的风险公告,漏洞编号为TVD-2023-27254(CVE编号:CVE-2023-29234,CNNVD编号:CNNVD-202312-1524)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Dubbo是一款开源的高性能、轻量级的分布式服务框架,主要用于Java应用程序。它提供了一种简单、高效的远程过程调用(RPC)机制,支持负载均衡、容错和服务治理等功能,帮助开发者轻松构建和管理大规模的微服务架构。Dubbo通过对服务提供者和消费者的解耦,实现了服务的动态发现和调用,从而提高了系统的可扩展性和可维护性。
据描述,该漏洞源于ObjectInput.java中的readThrowable 方法在处理异常时对反序列化后的对象进行了字符串拼接操作,导致会隐式调用对象的toString方法,攻击者从而利用该特性执行任意代码。
漏洞状态:
风险等级:
3.1.0 <= Apache Dubbo <= 3.1.10
3.2.0 <= Apache Dubbo <= 3.2.4
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/dubbo/releases
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。