关联漏洞
标题:Apache OFBiz XML-RPC event handler 代码问题漏洞 (CVE-2011-3600)描述:Apache OFBiz是美国阿帕奇(Apache)软件基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。XML-RPC event handler是其中的一个XML-RPC(远程过程调用的分布式计算协议)事件处理程序。 Apache OFBiz 16.11.01版本至16.11.04版本中的XML-RPC event handler的/webtools/control/xmlrpc端点存在安全漏洞。攻击者可利用该漏洞泄露文件系统中的文件内容,探查开放的网络
描述
The /webtools/control/xmlrpc endpoint in OFBiz XML-RPC event handler is exposed to External Entity Injection by passing DOCTYPE declarations with executable payloads that discloses the contents of files in the filesystem. In addition, it can also be used to probe for open network ports, and figure out from returned error messages whether a file exists or not. This affects OFBiz 16.11.01 to 16.11.04.
文件快照
id: CVE-2011-3600
info:
name: Apache OFBiz - XML External Entity Injection
author: daffainfo,pi
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。