一、背景介绍

近日，Apache OFBiz 路径遍历漏洞(CVE-2024-36104)POC 及技术细节与EXP已在互联网上公开， 鉴于该漏洞影响范围较大，建议尽快做好自查及防护。

1.1 漏洞描述

Apache OFBiz 是⼀个电⼦商务平台，提供了创建基于最新 J2EE/ XML 规范和技术标准，构建电⼦商务类 WEB 应⽤系统的框架。

Apache OFBiz 中存在路径遍历漏洞，漏洞原因在于未充分验证⽤户输⼊的 contextPath 参数，未授权的攻击者可以通过构造恶意请求绕过认证，进⽽访问系统中的敏感接口，造成任意代码执行。

1.2漏洞编号

CVE-2024-36104

1.3漏洞等级

高危

二、修复建议

2.1 受影响版本

Apache OFBiz < 18.12.14

2.2 修复建议：

目前官方已有可更新版本，建议受影响用户升级至最新版本。