一、 漏洞 CVE-2024-32113 基础信息
漏洞信息
# Apache OFBiz:路径穿越导致RCE
## 概述
Apache OFBiz 存在路径遍历漏洞,攻击者可以利用此漏洞访问受限目录之外的文件。
## 影响版本
- Apache OFBiz 18.12.13之前的版本
## 细节
该漏洞被称为路径遍历(Path Traversal),表明路径名未正确限制到受限制目录,导致未经授权的文件访问。
## 影响
用户应升级到18.12.13版本,以修复此问题。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞是在Apache OFBiz中发现的路径遍历(Path Traversal)漏洞,它允许攻击者通过操控文件路径访问受限目录或执行不应访问的操作,这属于服务器端的安全漏洞。用户被建议升级到18.12.13版本以解决该问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache OFBiz: Path traversal leading to RCE
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Apache OFBiz.This issue affects Apache OFBiz: before 18.12.13. Users are recommended to upgrade to version 18.12.13, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache OFBiz 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 18.12.13之前版本存在路径遍历漏洞,该漏洞源于受限目录路径名不正确限制。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-32113 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Apache OFBIZ Path traversal leading to RCE POC | https://github.com/Mr-xn/CVE-2024-32113 | POC详情 |
| 2 | Apache OfBiz vulns | https://github.com/RacerZ-fighting/CVE-2024-32113-POC | POC详情 |
| 3 | CVE-2024-32113 Apache OFBIZ Batch Scanning | https://github.com/YongYe-Security/CVE-2024-32113 | POC详情 |
| 4 | CVE-2024-32113 PoC | https://github.com/MikeyPPPPPPPP/CVE-2024-32113 | POC详情 |
| 5 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Apache OFBiz.This issue affects Apache OFBiz: before 18.12.13 | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-32113.yaml | POC详情 |
| 6 | CVE-2024-32113 & CVE-2024-38856 | https://github.com/guinea-offensive-security/Ofbiz-RCE | POC详情 |
| 7 | CVE-2024-32113-Apache-OFBiz<18.12.13-Exploit | https://github.com/luizgaf/CVE-2024-32113-Exploit | POC详情 |
三、漏洞 CVE-2024-32113 的情报信息
- https://issues.apache.org/jira/browse/OFBIZ-13006issue-tracking
- http://www.openwall.com/lists/oss-security/2024/05/09/1
标题: The Apache OFBiz® Project - Downloads -- 🔗来源链接
标签:mitigation
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **安全漏洞报告**: - Apache OFBiz社区强烈建议OFBiz用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 - 建议用户在私密的安全邮件列表中报告安全问题,这些列表包括security@ofbiz.apache.org和security@apache.org。 2. **安全漏洞报告方式**: - 建议用户在OFBiz的私密安全邮件列表中报告安全问题,而不是在公共论坛上披露多个漏洞。 3. **安全漏洞报告的优先级**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 4. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 5. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 6. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 7. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 8. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 9. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 10. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 11. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 12. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 13. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 14. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 15. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 16. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 17. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 18. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 19. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 20. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 21. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 22. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 23. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 24. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 25. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 26. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 27. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 28. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 29. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 30. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 31. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 32. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 33. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 34. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 35. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 36. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 37. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 38. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 39. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 40. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 41. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 42. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 43. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 44. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 45. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 46. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 47. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 48. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 49. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 50. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 51. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 52. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛上披露多个漏洞,而是逐个报告。 53. **安全漏洞报告的注意事项**: - 建议用户在报告安全问题时,不要在公共论坛
标题: The Apache OFBiz® Project - Security -- 🔗来源链接
标签:related
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **报告漏洞的建议**: - 强烈建议OFBiz用户在公开论坛上披露安全问题之前,先报告给私有安全邮件列表(security@ofbiz.apache.org或security@apache.org)。 - 避免在同一个报告中打包多个漏洞,而是分开报告。 2. **不再创建CVE的政策**: - 对于使用演示凭证(如admin用户)进行的post-authN攻击,不再创建CVE。 - 建议用户不要在生产环境中使用演示凭证,并警告用户关于保持OFBiz安全的wiki页面。 3. **已知漏洞列表**: - 列出了多个已知漏洞的CVE编号、受影响的发布版本范围、修复版本以及修复的commit信息。 - 漏洞编号从CVE-2010-0432到CVE-2024-38856。 4. **术语解释**: - 解释了pre-authN和post-authN的区别。 - 解释了authN和authZ的区别。 这些信息帮助用户了解如何报告漏洞、OFBiz的安全政策以及已知的漏洞列表。
- https://lists.apache.org/thread/w6s60okgkxp2th1sr8vx0ndmgk68fqrdvendor-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2024-32113
四、漏洞 CVE-2024-32113 的评论
暂无评论