Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)

0x01 产品简介

 Apache OFBiz是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。

0x02 漏洞概述

漏洞成因

2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生。尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。

利用特征

流量分析:攻击者利用这个漏洞时,会发送包含用户名和密码的 HTTP 请求到 XML-RPC 接口。在网络流量中,这可能表现为对 /webtools/control/xmlrpc 的异常访问请求。

异常请求内容:利用 Filter 绕过机制的请求可能包含不寻常的 URI 结构,如使用分号或路径穿越技术(../)。

特定的错误日志:在尝试进行反序列化攻击时,可能会在日志中观察到相关错误或异常信息,尤其是与 XML-RPC 组件相关的。

漏洞影响

远程代码执行风险:这个漏洞允许未授权的攻击者在服务器上执行任意代码,这可能导致数据泄露、系统被勒索或控制权被夺取等严重的安全威胁。

数据安全和业务连续性:由于 Apache OFBiz 通常用于管理关键业务流程

你可能感兴趣的:(漏洞复现,xml,rpc,web安全,安全)