漏洞信息(CVE-2011-3600)

一、漏洞 CVE-2011-3600 基础信息

漏洞信息

                                        # N/A

## 漏洞概述
OFBiz XML-RPC事件处理器中的/webtools/control/xmlrpc端点存在外部实体注入漏洞，可以通过传递包含可执行有效载荷的DOCTYPE声明来泄露文件系统的文件内容。此外，还可以用来探测开放的网络端口，并从返回的错误消息中判断文件是否存在。

## 影响版本
- OFBiz 16.11.01 至 16.11.04

## 漏洞细节
攻击者可以通过传递包含恶意有效载荷的DOCTYPE声明来利用此漏洞。这允许攻击者泄露文件内容、探测开放网络端口，并通过错误信息判断文件的存在性。

## 漏洞影响
- 泄露文件系统中的文件内容
- 探测开放的网络端口
- 通过错误信息判断文件是否存在

神龙判断

是否为 Web 类漏洞： 是

判断理由：

是。这个漏洞影响了OFBiz 16.11.01到16.11.04版本的/webtools/control/xmlrpc端点，该端点对外部实体注入（External Entity Injection, EEI）攻击开放，攻击者可以通过传递包含可执行负载的DOCTYPE声明来利用此漏洞，从而泄露文件系统中的文件内容、探测开放的网络端口，以及通过返回的错误消息判断文件是否存在。这显然是一个服务端的漏洞，因为它涉及到服务端处理请求的方式，并且可能导致敏感信息泄露和其他安全风险。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The /webtools/control/xmlrpc endpoint in OFBiz XML-RPC event handler is exposed to External Entity Injection by passing DOCTYPE declarations with executable payloads that discloses the contents of files in the filesystem. In addition, it can also be used to probe for open network ports, and figure out from returned error messages whether a file exists or not. This affects OFBiz 16.11.01 to 16.11.04.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Apache OFBiz XML-RPC event handler 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Apache OFBiz是美国阿帕奇（Apache）软件基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。XML-RPC event handler是其中的一个XML-RPC（远程过程调用的分布式计算协议）事件处理程序。 Apache OFBiz 16.11.01版本至16.11.04版本中的XML-RPC event handler的/webtools/control/xmlrpc端点存在安全漏洞。攻击者可利用该漏洞泄露文件系统中的文件内容，探查开放的网络

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2011-3600 的公开POC

#	POC 描述	源链接	神龙链接
1	The /webtools/control/xmlrpc endpoint in OFBiz XML-RPC event handler is exposed to External Entity Injection by passing DOCTYPE declarations with executable payloads that discloses the contents of files in the filesystem. In addition, it can also be used to probe for open network ports, and figure out from returned error messages whether a file exists or not. This affects OFBiz 16.11.01 to 16.11.04.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2011/CVE-2011-3600.yaml	POC详情

三、漏洞 CVE-2011-3600 的情报信息

https://security-tracker.debian.org/tracker/CVE-2011-3600x_refsource_MISC
https://access.redhat.com/security/cve/cve-2011-3600x_refsource_MISC
https://lists.apache.org/thread.html/7793319ae80ec350f7b82a8763460944f120ebe447f14a12155d0550%40%3Ccommits.ofbiz.apache.org%3Ex_refsource_MISC
http://mail-archives.apache.org/mod_mbox/ofbiz-user/201810.mbox/%3Cfad45546-af86-0293-9ea7-014553474b30%40apache.org%3Ex_refsource_CONFIRM
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3600x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2011-3600

四、漏洞 CVE-2011-3600 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2011-3600 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2011-3600 的公开POC

三、漏洞 CVE-2011-3600 的情报信息

四、漏洞 CVE-2011-3600 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2011-3600 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2011-3600 的公开POC

三、漏洞 CVE-2011-3600 的情报信息

四、漏洞 CVE-2011-3600 的评论

发表评论

一、漏洞 CVE-2011-3600 基础信息