Share
## https://sploitus.com/exploit?id=2C67B501-3EA7-58C3-997E-1BC4DC8881E8
# cveCVE-2024-38856-poc
CVE-2024-38856 是 Apache OFBiz 中的一个严重漏洞,允许未经身份验证的攻击者在受影响的系统上执行任意代码。
**漏洞原理:**
该漏洞源于 Apache OFBiz 的授权机制存在缺陷。具体而言,某些未经过身份验证的端点允许执行屏幕渲染代码,前提是这些屏幕定义未明确检查用户权限,而是依赖于其端点的配置。 攻击者可以通过精心构造的请求,利用这些未受保护的端点,绕过身份验证,执行任意代码。
**危害:**
成功利用此漏洞的攻击者可以在目标系统上执行任意代码,导致以下严重后果:
- **系统完全控制:** 攻击者可能获得对受影响服务器的完全控制权,执行任意操作。
- **数据泄露:** 未经授权的访问可能导致敏感数据的泄露。
- **服务中断:** 攻击者可能破坏系统功能,导致服务不可用。
- **恶意软件部署:** 攻击者可能在受影响的系统上安装恶意软件,进一步扩大攻击范围。
鉴于该漏洞的严重性(CVSS 基本评分为 9.8),强烈建议所有使用 Apache OFBiz 的用户立即将其更新至版本 18.12.15,以修复此漏洞。
![image](https://github.com/user-attachments/assets/172d4b99-a470-4186-954b-a1f55f39253f)