近日,市委网信办技术支撑单位监测到 Apache OFBiz路径遍历漏洞(CVE-2024-36104)POC及技术细节与EXP已在互联网上公开, 鉴于该漏洞影响范围较大,建议尽快做好自查及防护。
1.1漏洞描述
Apache OFBiz是⼀个电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建电⼦商务类 WEB应⽤系统的框架。
Apache OFBiz中存在路径遍历漏洞,漏洞原因在于未充分验证⽤户输⼊的 contextPath参数,未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。
1.2漏洞编号
CVE-2024-36104
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
Apache OFBiz < 18.12.14
2.2修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
