Apache Spark命令执行漏洞(CVE-2023-32007)
介绍Apache Spark是美国阿帕奇(Apache)基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。Apache Spark 3.4.0之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityF...
Apache OFBiz 身份验证绕过漏洞 (CVE-2023-51467)
Apache OFBiz 在后台提供了执行groovy 代码的功能,但是由于存在认证绕过问题,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,执行任意命令,控制服务器。fofaapp='A...
Apache Ofbiz XML-RPC RCE漏洞-CVE-2023-49070
2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XMLRPC 中的恶意请求,存在绕过。2023年四月,彻底删除xmlrpc handler 以避免同类型的漏洞产生尽管主分支...
Apache OFBiz SSRF && 任意配置读取
任意文件读取漏洞 poc以读取 applications/accounting/config/payment.properties 中的几个 key 为例POST /webtools/control/getJSONuiLabelArray/?USERNAME=&PASSWORD=s&requirePasswo...
Apache Dubbo-admin-authorized-bypass (CNVD-2023-96546)
exppackage org.apache.dubbo.admin.controller;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;import java.util.Date;import java.util.HashMap;import java.ut...