0day漏洞防御篇:(CVE-2024-38856)Apache OFBiz 远程代码执行漏洞

2024-08-09 17:16

CVE-2024-38856是一个错误授权漏洞,是因身份验证机制中存在缺陷而产生的漏洞。Apache OFBiz在处理view视图渲染时存在逻辑缺陷,该漏洞允许未经身份验证的远程攻击者通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码,导致数据泄露、服务中断或恶意代码执行等。安全研究人员在分析CVE-2024-36104的修补过程中发现了CVE-2024-38856这一新的漏洞。


漏洞概况


漏洞名称

工具检测+人工分析

漏洞编号

CVE-2024-38856

CVSS 3.1分数

9.1

威胁类型

代码执行

利用可能性

漏洞性质

错误授权漏洞,允许未经身份验证的远程攻击者执行任意代码

影响范围

Apache OFBiz 18.12.14及之前所有版本,不包括最新版本18.12.15


漏洞复现及防护

目前,开源网安RASP团队已成功复现CVE-2024-38856漏洞,具体如下。


前期准备

操作系统:Windows 10、Linux 5.15.153.1

防护工具:RASP 3.3.0

检测对象:Apache OFBiz 18.12.10


漏洞复现

未安装RASP,运行应用并发送攻击请求,如下图:

图片



其中恶意参数是

“throw new Exception('whoami'.execute().text);”的unicode编码

图片


从结果中可以看出'whoami'命令被执行。


安装RASP

在JVM参数中加入

图片



如图所示,请求被RASP所拦截:

图片



拦截HTTP信息:

图片



拦截堆栈信息:

图片



综上,开源网安实时应用自我防护工具RASP成功复现了该漏洞,并将安全防御功能融合到正在运行的系统中,对系统进行了有效防护。


参考资料:

https://github.com/vulhub/vulhub/tree/1d932c52b9eb257de8c8a20ba7696a598157ef8f/ofbiz/CVE-2023-51467