Apache OFBiz < 18.12.17 Groovy表达式注入漏洞-低调大师

Apache OFBiz < 18.12.17 Groovy表达式注入漏洞

2024-11-18 240

漏洞描述

Apache OFBiz 是开源企业资源规划（ERP）系统和电子商务框架。

受影响版本中，OFBiz由于使用freemarker对url中的参数进行模板解析时限制不当，攻击者可能通过component://协议访问/webtools/control/ProgramExport等受限制接口，执行恶意groovy代码，获得系统权限。

漏洞名称	Apache OFBiz < 18.12.17 Groovy表达式注入漏洞
漏洞类型	代码注入
发现时间	2024-11-16
漏洞影响广度	-
MPS编号	MPS-n2xd-jcet
CVE编号	CVE-2024-47208
CNVD编号	-

影响范围

ofbiz@(-∞, 18.12.17)

修复方案

将组件 ofbiz 升级至 18.12.17 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-n2xd-jcet

https://www.mail-archive.com/announce@apache.org/msg09630.html

Commit

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/320957

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Apache HertzBeat < 1.6.1 消息通知模版注入漏洞

漏洞描述 Apache HertzBeat 是开源的实时监控工具，支持自定义监控消息通知模板。在受影响版本中，由于针对消息通知模板的内容存在未限制的反序列化逻辑，具有系统登录权限的攻击者可以利用该漏洞执行任意代码。漏洞名称 Apache HertzBeat < 1.6.1 消息通知模版注入漏洞漏洞类型反序列化发现时间 2024-11-17 漏洞影响广度 - MPS编号 MPS-ti9h-1j32 CVE编号 CVE-2024-41151 CNVD编号 - 影响范围 hertzbeat@[1.4.2, 1.6.1) 修复方案将组件 hertzbeat 升级至 1.6.1 及以上版本参考链接 https://www.oscs1024.com/hd/MPS-ti9h-1j32 https://www.mail-archive.com/announce@apache.org/msg09633.html 免费情报订阅&代码安全检测 OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业...

2024-11-18

206

CSS，全称为层叠样式表 (Cascading Style Sheets)，于 1996 年首次亮相，使得人们能够对网页进行样式设置。自那时起，它已成为万维网不可或缺的组成部分，并推动了现代网页设计的发展。正如你可能想象的那样，自 1996 年以来，CSS 发生了许多变化。与现代 HTML 一样，当前版本的 CSS 已经发展到可以做之前需要 JavaScript 来完成的事情。CSS 现在支持数学函数，并能够对对象进行转换和动画处理。为了庆祝和提高对 CSS 里程碑和发展的重视，2024 年 8 月，谷歌 Chrome CSS 开发者布道师 Adam Argyle 决定创建一个新的官方徽 Logo，同时发起了公开征集设计活动。 ▲ 部分提交示例几个月后，经过投票选出了最终版本，下方的紫色版本成为了 CSS 的新官方 Logo。 CSS 新的官方 Logo 为紫色，并包含其深色和浅色变体：可以看到，新 Logo 与其他 Web 技术栈（如 HTML、JavaScript、TypeScript 和 WebAssembly）非常契合：目前 CSS 新 Logo 已上传至 GitHu...

2024-11-14

263

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。