CVE-2024-45195 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache OFBiz 存在**强制浏览**漏洞（直接请求问题）。<br>🔥 **后果**：攻击者可**绕过视图授权检查**，实现**未授权远程代码执行**（RCE）。

🔍 **CWE**：CWE-425（直接请求/强制浏览）。<br>🐛 **缺陷点**：Web 应用中缺失对特定资源的**视图授权检查**，导致敏感接口可直接访问。

📦 **产品**：Apache OFBiz（企业资源计划 ERP 系统）。<br>📉 **版本**：**18.12.16 之前**的所有版本均受影响。

💻 **权限**：无需任何有效凭据（**未授权**）。<br>📂 **数据/操作**：可在 **Linux 和 Windows** 服务器上执行**任意代码**，完全控制服务器。

🚪 **认证**：**极低**。无需登录，无需身份验证。<br>⚙️ **配置**：利用缺失的授权检查，直接构造请求即可。

🧪 **PoC**：有现成利用代码。<br>🔗 **来源**：ProjectDiscovery (Nuclei 模板)、Vulhub、GitHub Awesome-POC 等均有详细复现。

🔎 **自查**：使用 Nuclei 模板 `CVE-2024-45195.yaml` 进行扫描。<br>📋 **特征**：检查 OFBiz 版本是否低于 18.12.16，并测试未授权接口访问。

🛡️ **官方修复**：已发布补丁。<br>📥 **行动**：升级至 **Apache OFBiz 18.12.16** 或更高版本。参考官方安全页面。

⚠️ **临时规避**：若无法立即升级，应**限制 Web 应用访问权限**。<br>🚫 **建议**：在防火墙或 WAF 层面拦截对敏感端点的未授权直接请求。

🔥 **优先级**：**极高**。<br>⏱️ **建议**：这是**未授权 RCE** 漏洞，危害极大且利用简单。请立即评估并升级，切勿拖延！