关联漏洞
标题:Apache OFBiz 代码问题漏洞 (CVE-2020-9496)Description:Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 17.12.03版本中存在代码问题漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
介绍
# CVE-2020-9496
## Set-up Vulnerable Environment
```bash
▶ wget http://archive.apache.org/dist/ofbiz/apache-ofbiz-17.12.01.zip
▶ unzip apache-ofbiz-17.12.01.zip
▶ cd apache-ofbiz-17.12.01
▶ sh gradle/init-gradle-wrapper.sh
▶ ./gradlew cleanAll loadDefault
▶ ./gradlew "ofbiz --load-data readers=seed,seed-initial,ext"
▶ ./gradlew ofbiz # Start OFBiz
```
Open a browser and go to `https://localhost:8443`.
The default administrative account is username: **admin** password: **ofbiz**.
## Proof of Concept
### Using [nuclei](https://github.com/projectdiscovery/nuclei)
- https://github.com/projectdiscovery/nuclei-templates/pull/312
```
> echo "https://localhost:8443" | nuclei -t cves/CVE-2020-9496.yaml
```
文件快照
[4.0K] /data/pocs/44e9981fe3bf77f41d9d09872115993acf7141a6
└── [ 729] README.md
0 directories, 1 file
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。