CVE-2024-38856是一个错误授权漏洞,是因身份验证机制中存在缺陷而产生的漏洞。Apache OFBiz在处理view视图渲染时存在逻辑缺陷,该漏洞允许未经身份验证的远程攻击者通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码,导致数据泄露、服务中断或恶意代码执行等。安全研究人员在分析CVE-2024-36104的修补过程中发现了CVE-2024-38856这一新的漏洞。
漏洞概况
漏洞名称 | 工具检测+人工分析 |
漏洞编号 | CVE-2024-38856 |
CVSS 3.1分数 | 9.1 |
威胁类型 | 代码执行 |
利用可能性 | 高 |
漏洞性质 | 错误授权漏洞,允许未经身份验证的远程攻击者执行任意代码 |
影响范围 | Apache OFBiz 18.12.14及之前所有版本,不包括最新版本18.12.15 |
漏洞复现及防护
目前,开源网安RASP团队已成功复现CVE-2024-38856漏洞,具体如下。
前期准备
操作系统:Windows 10、Linux 5.15.153.1
防护工具:RASP 3.3.0
检测对象:Apache OFBiz 18.12.10
漏洞复现
未安装RASP,运行应用并发送攻击请求,如下图:
其中恶意参数是
“throw new Exception('whoami'.execute().text);”的unicode编码
从结果中可以看出'whoami'命令被执行。
安装RASP
在JVM参数中加入
如图所示,请求被RASP所拦截:
拦截HTTP信息:
拦截堆栈信息:
综上,开源网安实时应用自我防护工具RASP成功复现了该漏洞,并将安全防御功能融合到正在运行的系统中,对系统进行了有效防护。
参考资料:
https://github.com/vulhub/vulhub/tree/1d932c52b9eb257de8c8a20ba7696a598157ef8f/ofbiz/CVE-2023-51467