CVE-2024-32113

Суть уязвимости

CVE-2024-32113 представляет собой критическую уязвимость типа Path Traversal (обход путей) в Apache OFBiz до версии 18.12.13. Проблема возникает из-за некорректной обработки URL-адресов, что позволяет злоумышленнику манипулировать путями запросов.

Используя специально сформированные HTTP-запросы (например, через сегменты /control/forgotPassword/..;/), атакующий может обойти механизмы аутентификации и получить доступ к внутренним эндпоинтам. Это приводит к возможности удаленного выполнения произвольного кода (RCE) в контексте безопасности приложения.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление Apache OFBiz до версии 18.12.13 или выше.

1. Перейдите в корневой каталог установленного приложения:

cd /path/to/apache-ofbiz

1. Остановите текущий экземпляр приложения:

./gradlew terminateOfbiz

1. Загрузите актуальную версию дистрибутива с официального сайта Apache или обновите исходный код через Git:

git pull origin release18.12

1. Выполните сборку и очистку проекта:

./gradlew cleanAll loadAll

1. Запустите обновленную версию:

./gradlew ofbiz

Временные меры

Если немедленное обновление системы невозможно, необходимо применить следующие компенсирующие меры контроля:

1. Настройка Web Application Firewall (WAF): Настройте правила фильтрации для блокировки запросов, содержащих последовательности обхода путей, такие как ..;, ../ или %2e%2e%2f в URL.

2. Ограничение доступа на уровне Reverse Proxy (Nginx/Apache): Добавьте конфигурацию для блокировки подозрительных паттернов. Пример для Nginx:

if ($request_uri ~* "\.\.;") {
    return 403;
}

1. Минимизация привилегий: Убедитесь, что процесс OFBiz запущен от имени пользователя с минимальными правами в системе (non-root), чтобы ограничить потенциальный ущерб в случае успешной эксплуатации.

2. Сегментация сети: Ограничьте доступ к интерфейсу управления OFBiz только для доверенных IP-адресов или через VPN.