Apache OFBiz远程代码执行漏洞CVE-2024-47208

Apache OFBiz 是一个知名电商平台，可用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

Apache OFBiz也是著名的开源项目，提供创建基于最新J2EE/ XML规范和技术标准和一整套开发基于Java的WEB应用程序的组件和工具。

一、基本情况

栋科技漏洞库关注到 Apache OFBiz 近期发布版本更新，修复CVE-2024-47208、CVE-2024-48962、CVE-2024-45507等几个安全漏洞。

CVE-2024-47208

CVE-2024-47208漏洞是 Apache OFBiz 服务器端请求伪造 （SSRF）、代码生成控制不当（“代码注入”）造成的Groovy表达式注入漏洞。

由于对URL的校验不严格，攻击者可通过构造恶意URL绕过校验逻辑并注入Groovy 表达式代码或触发服务器端请求伪造（SSRF）攻击。

攻击者可构造恶意请求控制服务器，从而导致远程代码执行或访问未授权资源，漏洞影响 Apache OFBiz2017年12月18日之前所有版本。

CVE-2024-48962

CVE-2024-47208 漏洞是Apache OFBiz中使用 URL 参数通过目标重定向绕过SameSite限制（SSTI和CSRF导致RCE）远程代码执行漏洞。

由于2017年12月18日之前版本在处理URL参数时未正确对特殊字符进行转义和编码使攻击者构造恶意URL参数绕过SameSite cookie限制。

模板引擎漏洞中使用的特殊元素的不当中和，导致攻击者通过目标重定向和服务器端模板注入（SSTI）实现跨站请求伪造（CSRF）攻击。

CVE-2024-45507

CVE-2024-45507漏洞是Apache OFBiz中服务器端请求伪造（SSRF）、代码生成控制不当（“代码注入”）漏洞，可能导致代码执行漏洞。

该漏洞影响Apache OFBiz在2016年12月18日之前版本，攻击者可利用该漏洞构造恶意请求控制服务器，因此建议尽快更新版本修复漏洞。

三、影响范围

Apache OFBiz < 18.12.17

四、修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

Apache OFBiz >= 18.12.17

五、参考链接

https://lists.apache.org/thread/ls1w4ywdobn4hok1tpfm1x23n0q59o74

https://issues.apache.org/jira/powse/OFBIZ-13158

https://issues.apache.org/jira/powse/OFBIZ-13162

https://www.openwall.com/lists/oss-security/2024/11/16/3