Apache OFBiz 任意文件读取和 SSRF 漏洞
漏洞描述
Apache OFBiz 是一个开源的企业资源计划系统。
在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJSONuiLabelArray 中,由于 UtilProperties.getMessage(resource, resourceKey, locale) 允许从攻击者可控的 labelObject 中接收 resource 和 resourceKey,攻击者可以传入 URL或文件路径,从而进行服务器端请求伪造(SSRF)攻击和任意文件读取。
漏洞名称 | Apache OFBiz 任意文件读取和 SSRF 漏洞 |
---|---|
漏洞类型 | SSRF |
发现时间 | 2023-12-26 |
漏洞影响广度 | 一般 |
MPS编号 | MPS-e3rj-bani |
CVE编号 | CVE-2023-50968 |
CNVD编号 | - |
影响范围
ofbiz@(-∞, 18.12.11)
修复方案
将组件 ofbiz 升级至 18.12.11 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-e3rj-bani
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
发布 Windows 系统版本,ATOMDB 多平台支持更进一步
大家好,经过一个月的紧张开发,ATOMDB 0.5.3 正式完成了 Windows 版本的研发,用户体验跟 macOS 版本保持了高度一致,希望大家喜欢,本次版本暂时没有带来新的功能,主要完成了移植和部分已知问题的修复。 🐳 功能优化 优化启动界面和关于我们窗口,针对 2k 和 4k 显示体验做优化 引入 Inter 字体,优化 macOS 和 Windows 平台的字体显示效果 优化启动速度,迟延加载和创建在引导过程中非必须组件 🐞 BUG 修复 修复项目切换资源没有正确释放的问题 修复 6000多万行数据表分页查询卡 UI 的问题 下面我们一睹 Windows 版本的风采吧。首先是 ATOMDB 的安装程序,为了方便大家安装,我们采用了 Windows 系统标准的 msi 安装包格式,双击安装包就能开始安装过程,一直点击下一步就可以完成程序的安装。 完成整个安装过程后,ATOMDB 安装程序会在桌面和开始菜单创建对应的快捷方式,双击桌面 ATOMDB 图标,如果没有遇到其他问题,系统主界面就会显示出来,因为体验跟 macOS 几乎一样,大家自行体验即可,Jus...
- 下一篇
养乐多公司确认 95 G 数据被泄露
一个自称为 DragonForce 的组织,将澳大利亚养乐多公司 (Yakult Australia)的 95.19 GB 数据进行了公开泄露。Yakult Australia方面也证实了此次网络攻击的真实性,并表示该公司的澳大利亚和新西兰 IT 系统均受到了影响。 “12 月 15 日上午,我们首次意识到发生了一起网络事件。我们还不能确认事件的严重程度。我们正在与网络安全专家合作,紧急调查这一事件。” 目前,该公司还无法确认事件究竟是如何发生的。"我们的调查正在进行中。一旦获得信息,我们将提供进一步的更新信息。" DragonForce 方称,所泄露的数据包含公司数据库、合同、护照等。科技网站BleepingComputer 对泄露的一小部分数据进行了分析,发现其中似乎包含一些商业文件、电子表格、澳大利亚养乐多公司的信贷申请、员工记录以及护照等身份证件的复印件。 DragonForce (又名 DragonLeaks)打出的口号是"companies that refused to cooperate"。这表明其首要目的是进行钱财勒索,如果勒索不成,就会公开泄露窃取的资产和数据。目前...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS8编译安装MySQL8.0.19
- Red5直播服务器,属于Java语言的直播服务器
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7设置SWAP分区,小内存服务器的救世主
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库