Goby漏洞发布 | CVE-2024-38856 Apache OFbiz /ProgramExport 命令执行漏洞【已复现】

漏洞名称：Apache OFbiz /ProgramExport 命令执行漏洞（CVE-2024-38856）
English Name：Apache OFbiz /ProgramExport Command Execution Vulnerability(CVE-2024-38856)

CVSS core: 9.0

漏洞描述：

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

Apache OFBiz在处理view视图渲染的时候存在逻辑缺陷，攻击者可通过构造特殊URL来覆盖最终的渲染视图，从而执行任意代码。

FOFA查询规则:
app=“Apache_OFBiz”

受影响资产数量: 2,728

受影响版本:
Apache OFBiz <= 18.12.14

解决方案：
厂商已发布了漏洞修复程序，请及时关注更新

漏洞检测工具：
【Goby】-资产绘测及实战化漏洞扫描工具，实战漏洞利用效果如图所示：

获取Goby：Goby-资产绘测及实战化漏洞扫描工具

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec