Apache OFBiz 漏洞列表
共找到 70 个与 Apache OFBiz 相关的漏洞
📅 加载漏洞趋势中...
-
CVE-2018-8033: Apache OFBiz XXE POC
XXE injection (file disclosure) exploit for Apache OFBiz 16.11.04 -
CVE-2020-9496: Apache OFBiz XML-RPC Java Deserialization POC
XML-RPC request are vulnerable to unsafe deserialization and Cross-Site Scripting issues in Apache OFBiz 17.12.03 -
CVE-2021-29200: Apache OFBiz < 17.12.07 - Arbitrary Code Execution POC
Apache OFBiz has unsafe deserialization prior to 17.12.07 version An unauthenticated user can perform an RCE attack Fofa: app="Apache_OFBiz" Hunter: app.name="OFBiz" ZoomEye: app:"Apache OFBiz" -
CVE-2023-49070: Apache OFBiz < 18.12.10 - Arbitrary Code Execution POC
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统,提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 在 18.12.10 版本之前存在远程代码执行漏洞。由于 XML-RPC 已经不再维护,经过身份认证的攻击者可以利用 XML-RPC 进行远程代码执行利用,从而控制服务器。 FOFA: app="Apache_OFBiz" Hunter: app.name="OFBiz" ZoomEye: app:"Apache OFBiz" -
CVE-2024-38856: Apache OFBiz CVE-2024-38856 远程命令执行漏洞 POC
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 2024年8月,官方发布新版本修复了CVE-2024-38856 Apache OFBiz 代码执行漏洞,攻击者可构造恶意请求控制服务器。建议尽快修复漏洞。 -
apache-ofbiz-log4j-rce-temp: Apache OFBiz Log4j JNDI RCE POC
Fofa: app="Apache_OFBiz" -
apache-ofbiz-log4j-rce: Apache OFBiz Log4j JNDI RCE POC
Fofa: app="Apache_OFBiz" -
apache-ofbiz-programexport-rce: Apache ofbiz programexport RCE POC
The programexport script in Apache ofbiz allows remote attackers to execute arbitrary code via a crafted request. Fofa: app="Apache_OFBiz" ZoomEye: app:"Apache OFBiz" -
apache-ofbiz-CVE-2023-51467-xmlrpc-rce: Apache ofbiz CVE-2023-51467 xmlrpc RCE POC
Detecting Apache OFbiz - CVE-2023-51467 authentication bypass vulnerability, xmlrpc deserialization command execution exploit Fofa: app="Apache_OFBiz" ZoomEye: app:"Apache OFBiz" -
Apache OFBiz StatsSinceStart 远程代码执行漏洞(CVE-2024-45507) 无POC
Apache OFBiz 18.12.16 之前的版本在 Linux 和 Windows 系统上存在未经身份验证的远程代码执行漏洞。 -
Apache OFBiz /partymgr/control/getJSONuiLabel 服务器端请求伪造漏洞(CVE-2023-50968) 无POC
Apache OFBiz是一个用于构建企业级电子商务应用的平台。该漏洞由SSRF和信息泄露问题组成,攻击者可构造恶意请求绕过身份认证,获取敏感信息或发起服务端请求伪造攻击。由于该漏洞无需权限即可利用,可能导致关键业务数据泄露,建议企业立即升级至18.12.11或更高版本。 -
CVE-2018-8033: Apache OFBiz 16.11.04 - XML Entity Injection POC
Apache OFBiz 16.11.04 is susceptible to XML external entity injection (XXE injection). -
CVE-2020-1943: Apache OFBiz <=16.11.07 - Cross-Site Scripting POC
Apache OFBiz 16.11.01 to 16.11.07 is vulnerable to cross-site scripting because data sent with contentId to /control/stream is not sanitized. -
CVE-2020-9496: Apache OFBiz 17.12.03 - Cross-Site Scripting POC
Apache OFBiz 17.12.03 contains cross-site scripting and unsafe deserialization vulnerabilities via an XML-RPC request. -
CVE-2021-26295: Apache OFBiz <17.12.06 - Arbitrary Code Execution POC
Apache OFBiz has unsafe deserialization prior to 17.12.06. An unauthenticated attacker can use this vulnerability to successfully take over Apache OFBiz. -
CVE-2021-29200: Apache OFBiz < 17.12.07 - Arbitrary Code Execution POC
Apache OFBiz has unsafe deserialization prior to 17.12.07 version An unauthenticated user can perform an RCE attack -
CVE-2021-30128: Apache OFBiz <17.12.07 - Arbitrary Code Execution POC
Apache OFBiz before 17.12.07 is susceptible to arbitrary code execution via unsafe deserialization. An attacker can modify deserialized data or code without using provided accessor functions. -
CVE-2022-47501: Apache OFBiz < 18.12.07 - Local File Inclusion POC
Arbitrary file reading vulnerability in Apache Software Foundation Apache OFBiz when using the Solr plugin. This is a pre-authentication attack. This issue affects Apache OFBiz: before 18.12.07. -
CVE-2023-49070: Apache OFBiz < 18.12.10 - Arbitrary Code Execution POC
Pre-auth RCE in Apache Ofbiz 18.12.09. It's due to XML-RPC no longer maintained still present. This issue affects Apache OFBiz: before 18.12.10. -
CVE-2023-50968: Apache OFBiz < 18.12.11 - Server Side Request Forgery POC
Arbitrary file properties reading vulnerability in Apache Software Foundation Apache OFBiz when user operates an uri call without authorizations. The same uri can be operated to realize a SSRF attack also without authorizations. Users are recommended to upgrade to version 18.12.11, which fixes this issue. -
CVE-2023-51467: Apache OFBiz < 18.12.11 - Remote Code Execution POC
The vulnerability allows attackers to bypass authentication to achieve a simple Server-Side Request Forgery (SSRF) -
CVE-2024-32113: Apache OFBiz Directory Traversal - Remote Code Execution POC
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Apache OFBiz. This issue affects Apache OFBiz: before 18.12.13 -
CVE-2024-36104: Apache OFBiz - Directory Traversal & Remote Code Execution POC
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Apache OFBiz. This issue affects Apache OFBiz: before 18.12.14. Users are recommended to upgrade to version 18.12.14, which fixes the issue. -
CVE-2024-38856: Apache OFBiz - Improper Authorization & Remote Code Execution POC
Improper Authorization vulnerability in Apache OFBiz. This issue affects Apache OFBiz: through 18.12.14. Users are recommended to upgrade to version 18.12.15, which fixes the issue. Unauthenticated endpoints could allow execution of screen rendering code of screens if some preconditions are met (such as when the screen definitions don't explicitly check user's permissions because they rely on the configuration of their endpoints). -
CVE-2024-45195: Apache OFBiz - Remote Code Execution POC
Apache OFBiz below 18.12.16 is vulnerable to unauthenticated remote code execution on Linux and Windows. An attacker with no valid credentials can exploit missing view authorization checks in the web application to execute arbitrary code on the server -
CVE-2024-45507: Apache OFBiz - Remote Code Execution POC
Apache OFBiz below 18.12.16 is vulnerable to unauthenticated remote code execution on Linux and Windows. An attacker with no valid credentials can exploit missing view authorization checks in the web application to execute arbitrary code on the server -
Apache OFBiz /webtools/control/forgotPassword;/ProgramExport 代码执行漏洞 (CVE-2024-32113) 无POC
Apache OFBiz 是一个开源的企业资源计划 (ERP) 系统,提供了多种业务管理功能。Apache OFBiz 的 /webtools/control/forgotPassword;/ProgramExport 接口存在路径遍历漏洞,可能导致远程代码执行。该漏洞影响 Apache OFBiz 18.12.13 之前的版本,攻击者可以通过该漏洞执行恶意代码,危害系统安全。 -
Apache OFBiz /solr/demo/./debug/dump 文件读取漏洞(CVE-2022-47501) 无POC
Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新 J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。该漏洞存在于Apache OFBiz的Solr插件中,允许攻击者通过特制的请求读取服务器上的任意文件,可能导致敏感信息泄露,进一步引发数据泄露和系统安全问题。 -
Apache OFBiz 服务器端请求伪造(SSRF)漏洞 无POC
-
Apache OFBiz /viewdatafile 代码执行漏洞(CVE-2024-45195) 无POC
Apache OFBiz是一个开源企业资源规划(ERP)系统。它提供了一套企业应用程序,集成并自动化企业的许多业务流程。 Apache OFBiz 存在远程代码执行漏洞,远程攻击者可通过控制请求从而写入恶意文件获取服务器权限。 -
Apache OFBiz 身份验证绕过漏洞 可导致远程代码执行 无POC
-
Apache OFBiz 远程代码执行漏洞 无POC
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2024年9月,官方发布新版本修复了 CVE-2024-45195 Apache OFBiz 代码执行漏洞,攻击者可构造恶意请求控制服务器。建议尽快修复漏洞。 -
Apache OFBiz CVE-2024-38856 未授权代码执行漏洞 无POC
Apache OFBiz存在未授权代码执行漏洞,该漏洞是由于ProgramExport接口对用户的权限校验不当导致的。 -
Apache OFBiz CVE-2024-25065 鉴权绕过漏洞 1 无POC
Apache OFBiz 存在鉴权绕过漏洞,该漏洞是由于/webtools/control接口对用户的请求验证不当所导致的。 -
Apache OFBiz CVE-2024-32113 目录遍历漏洞 无POC
Apache OFBiz 存在目录遍历漏洞,此漏洞是由于未充分验证用户输入的url所导致的。 -
Apache OFBiz CVE-2024-32113 目录遍历漏洞 无POC
Apache OFBiz 存在目录遍历漏洞,此漏洞是由于未充分验证用户输入的url所导致的。 -
Apache OFBiz CVE-2024-25065 鉴权绕过漏洞 2 无POC
Apache OFBiz 存在鉴权绕过漏洞,该漏洞是由于loadJWT接口对用户的请求验证不当所导致的。 -
Apache OFbiz /ProgramExport 命令执行漏洞(CVE-2024-38856) 无POC
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。Apache OFBiz在处理view视图渲染的时候存在逻辑缺陷,攻击者可通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码。 -
Apache OFBiz 远程代码执行漏洞 无POC
Apache OFBiz存在远程代码执行漏洞,ProgramExport 和 EntitySQLProcessor 模块未对用户身份进行校验。未授权的攻击者可以通过将 payload 进行 base64 和 unicode 编码,从而绕过 SecuredUpload.isValidText 的黑名单校验机制。利用 /webtools/control/main/ProgramExport 接口传入 groovyProgram 参数,攻击者能够远程执行任意系统命令。 -
Apache OFBiz /webtools/control/main/ProgramExport 存在代码注入漏洞 无POC
Apache OFBiz 未授权 代码注入漏洞 -
Apache OFBiz 授权不当致代码执行漏洞 (CVE-2024-38856) 无POC
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/XML规范和技术标准,构建⼤中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。2024年8月5日互联网公开了ApacheOFBiz授权不当致代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的攻击者绕过原有的安全机制执行代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令。 -
Apache OFBiz /webtools/control/forgotPassword/././ProgramExport 目录遍历致代码执行漏洞 (CVE-2024-36104) 无POC
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。Apache OFBiz < 18.12.14的版本中存在目录遍历致代码执行漏洞,攻击者可以在/webtools/control/forgotPassword/././ProgramExport路径下使用POST请求,并在请求体中添加groovyProgram参数来发送攻击载荷实现任意代码执行。 -
Apache OFBiz CVE-2024-36104 鉴权绕过漏洞 无POC
Apache OFBiz 存在鉴权绕过漏洞,此漏洞是由于ProgramExport未充分验证用户输入的数据所导致的。 -
Apache OFBiz 存在远程代码执行漏洞 无POC
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 18.12.13之前版本存在路径遍历漏洞,该漏洞源于受限目录路径名不正确限制。 -
Apache OFBiz 代码执行漏洞(CVE-2024-36104) 无POC
ApacheOFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径限制不当导致攻击者能够通过分号绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。 -
Apache OFBiz /webtools/control/ProgramExport 存在路径遍历漏洞 无POC
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 18.12.14之前版本存在路径遍历漏洞,该漏洞源于对路径名限制不当。 -
Apache OFBiz 弱口令漏洞 无POC
弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码,导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限,进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。 -
Apache OFBiz CVE-2018-8033 XML外部实体注入漏洞 无POC
Apache OFBiz存在XML外部实体注入漏洞,此漏洞是由于httpService接口对用户的请求验证不当导致的。 -
Apache OFBiz ProgramExport目录遍历致远程代码执行漏洞 无POC
Apache OFBiz 是一个开源的企业资源计划系统,OFBiz支持运行Groovy代码用于编程导出数据。 在18.12.13之前的版本中,ControlFilter类针对URL路径限制不当,攻击者可通过/..;/形式的URL绕过权限控制访问后台/webtools/control/ProgramExport接口,进而利用编程导出功能,通过执行Groovy代码获取机器权限。 -
Apache OFBiz CVE-2021-29200 不安全的反序列化漏洞 无POC
Apache OFBiz存在不安全的反序列化漏洞,此漏洞是缺乏校验导致的。 -
Apache OFBiz groovy 远程代码执行漏洞 无POC
Apache OFBiz存在远程代码执行漏洞。此漏洞是由于应用程序对用户的请求缺乏校验导致的。 -
Apache OFBiz groovy 远程代码执行漏洞 无POC
Apache OFBiz存在远程代码执行漏洞。此漏洞是由于应用程序对用户的请求缺乏校验导致的。 -
Apache OFBiz XMLRPC 不安全的反序列化漏洞 无POC
Apache OFBiz中存在不安全的反序列化漏洞,该漏洞是由于应用对发送到/webtools/control/xmlrpc的请求处理不当导致的。 -
Apache OFBiz XMLRPC 不安全的反序列化漏洞 无POC
Apache OFBiz中存在不安全的反序列化漏洞,该漏洞是由于应用对发送到/webtools/control/xmlrpc的请求处理不当导致的。 -
Apache OFBiz CVE-2023-50968 服务端请求伪造漏洞 无POC
Apache OFBiz存在服务器端请求伪造漏洞。此漏洞是由于对requiredLabel参数缺乏校验导致的。 -
Apache OFBiz createAnonContact 服务端模板注入漏洞 无POC
Apache OFBiz 中存在一个服务器端模板注入漏洞。该漏洞是由于应用程序对用户提供的数据的验证不当导致的。 -
Apache OFBiz服务器端请求伪造漏洞(CVE-2023-50968) 无POC
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.11之前版本存在代码问题漏洞,该漏洞源于用户可以在未经授权的情况下操作相同的uri来实现服务器端请求伪造攻击。 -
Apache OFBiz webtools/control/ProgramExport 远程代码执行漏洞(CVE-2023-51467) 无POC
Apache OFBiz 在 webtools/control/ProgramExport存在代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 -
Apache Ofbiz /webtools/control/getJSONuiLabelArray/ 存在任意文件读取漏洞 无POC
Apache Ofbiz /webtools/control/getJSONuiLabelArray/ 存在任意文件读取漏洞,可利用该漏洞读取系统的敏感文件信息等。 -
Apache Ofbiz /webtools/control/ProgramExport 存在远程代码执行漏洞 无POC
Apache Ofbiz /webtools/control/ProgramExport 存在远程代码执行漏洞,可利用该漏洞执行恶意代码,获取服务器权限等。 -
Apache OFBiz webtools/control/ProgramExport 远程代码执行漏洞(CVE-2023-51467) 无POC
Apache OFBiz 是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。Apache OFBiz 在 webtools/control/ProgramExport 存在代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 -
Apache OFBiz 任意文件属性读取与SSRF漏洞 无POC
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 -
Apache OFBiz groovy 远程代码执行漏洞 无POC
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 2023年12月,官方发布新版本修复了 CVE-2023-51467 Apache OFBiz groovy 远程代码执行漏洞。攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,执行任意命令,控制服务器。建议尽快修复漏洞。 -
Apache OFBiz webtools/control/xmlrpc 远程代码执行漏洞(CVE-2023-49070) 无POC
Apache OFBiz是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。Apache OFBiz 在 webtools/control/xmlrpc 存在反序列化代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 -
Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070) 无POC
Apache OFBiz 是一个开源的企业资源计划系统。Apache XML-RPC 是 XML-RPC 的 Java 实现,XML-RPC 是一种使用 XMLover HTTP 来实现远程过程调用的协议。由于OFBiz使用了有反序列化漏洞且不再维护的的XML-RPC(CVE-2019-17570),攻击者可以通过请求/webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y绕过针对/control/xmlrpc的接口过滤限制(CVE-2020-9496),从而使用Apache XMLRPC 客户端库的应用程序权限执行任意代码。 在修复版本中,Apache OFBiz移除了XML-RPC的相关代码。 -
Apache OfBiz 默认密码登录 无POC
可登录Apache OfBiz默认后台 -
Apache OFBiz RMI反序列化前台命令执行(CVE-2021-26295) 无POC
OFBiz是基于Java的Web框架,包括实体引擎,服务引擎和基于小部件的UI。近日,Apache OFBiz官方发布安全更新。Apache OFBiz存在RMI反序列化前台命令执行,未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz。 -
Apache ofbiz xml-rpc页面反序列漏洞 无POC
ApacheOFBiz是美国阿帕奇(Apache)软件基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。其中ApacheOFBiz 17.12.04以下版本xml-rpc页面存在反序列化漏洞,攻击者可通过访问未授权接口,构造特定的xmlrpchttp请求,造成远程代码执行。目前厂商已发布最新版本,请受影响用户及时下载并更新至最新版本。官方链接如下:https://ofbiz.apache.org/security.html -
Apache OFBiz xmlrpc页面-XXE漏洞(CVE-2018-8033) 无POC
【漏洞对象】Apache OFBiz 【漏洞描述】 Apache OFBiz全称是The ApacheOpen For BusinessProject。是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新的J2EE/XML规范和技术标准,构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。而在/webtools/control/xmlrpc页面由于没有禁用外部实体,攻击者可以通过提交xml实现任意文件读取。 -
Apache OFBiz Nested Expression 远程代码执行漏洞 无POC
Apache Open For Business Project(也称OFBiz)是美国阿帕奇(Apache)软件基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz中存在安全漏洞,该漏洞源于程序处理嵌套表达式存在错误。远程攻击者可通过参数中的JUEL元字符,利用该漏洞执行任意的Unified Expression Language (UEL)函数。以下版本受到影响:Apache OFBiz 10.04.01至10.04.05版本,11.04.01至11.04.02版本及12.04.01版本。