漏洞名称：Apache OFBiz /viewdatafile 代码执行漏洞（CVE-2024-45195）

English Name：Apache OFBiz /viewdatafile Code Execution Vulnerability(CVE-2024-45195)

CVSS core: 8.0

漏洞描述：

Apache OFBiz是一个开源企业资源规划（ERP）系统。它提供了一套企业应用程序，集成并自动化企业的许多业务流程。

Apache OFBiz 存在远程代码执行漏洞，远程攻击者可通过控制请求从而写入恶意文件获取服务器权限。

FOFA自检语句：

app=“Apache_OFBiz”

受影响资产数量: 2,733

受影响版本:

Apache OFBiz 18.12.00 到 18.12.12
Apache OFBiz 17.12.00 到 17.12.10

解决方案：

1.立即更新到最新的修复版本（18.12.13 或 17.12.11）。
2.如果无法立即更新，可以考虑在网络层面进行防护，如使用Web应用防火墙（WAF）来过滤恶意请求。
3.限制对 /viewdatafile 端点的访问，只允许受信任的IP地址或用户访问。

漏洞检测工具：

【Goby】-资产绘测及实战化漏洞扫描工具，实战漏洞验证效果如图所示：

了解Goby

Goby预置了最具实战化效果的漏洞引擎，覆盖Weblogic，Tomcat等最严重漏洞。Goby也提供了可以自定义的漏洞检查框架，发动了互联网的大量安全从业者贡献POC，保证持续的应急响应能力，目前已收录1900+POC。

获取Goby：获取Goby

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：Gobysec