CVE-2024-32113 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache OFBiz 存在**路径遍历**漏洞。 💥 **后果**：攻击者可绕过目录限制，直接访问受限文件，甚至导致 **RCE（远程代码执行）**。

🔍 **CWE**：CWE-22（路径遍历）。 🐛 **缺陷点**：**受限目录路径名**的限制不正确，导致非法路径被解析。

🏢 **厂商**：Apache Software Foundation。 📦 **产品**：Apache OFBiz。 📅 **版本**：**18.12.13 之前**的所有版本均受影响。

🔓 **权限**：无需认证即可利用（部分接口）。 📂 **数据**：可读取服务器任意文件。 💻 **控制**：通过 Groovy 脚本执行系统命令，实现 **完全控制服务器**。

⚡ **门槛**：**极低**。 🔑 **认证**：部分利用路径（如 `/ecomseo/AnonContactus`）公开可访问，无需登录。 🛠️ **配置**：标准 Java 环境即可触发。

📜 **Exp**：**有现成 PoC**。 🔗 多个 GitHub 仓库提供 POC（如 Mr-xn, RacerZ-fighting）。 🤖 **自动化**：已有 Nuclei 模板和批量扫描工具。

🔎 **FOFA 搜索**：`app="Apache_OFBiz"`。 📡 **特征**：检测包含 `..` 或 `/ProgramExport` 的 POST 请求。 🧪 **验证**：发送 Groovy 命令（如 `id`），观察回显。

🛡️ **官方修复**：**已修复**。 📥 **建议版本**：升级至 **18.12.14** 或更高版本。 🔗 参考：Apache OFBiz 官方下载及安全页面。

🚧 **临时规避**： 1️⃣ 限制 `/webtools/control/` 等敏感路径的访问。 2️⃣ 配置 WAF 拦截包含 `..` 或 Groovy 执行语法的请求。 3️⃣ 移除不必要的公开接口（如 `/ecomseo/`）。

🔥 **优先级**：**极高 (Critical)**。 ⚠️ 影响广泛，利用简单，可直接 RCE。 🏃 **行动**：立即升级或实施网络层隔离。