漏洞情报 | Apache OFBiz 信息泄露漏洞

VSole2021-08-31 21:17:32

0x01 漏洞描述

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统，提供了一整套基于Java的Web应用程序组件和工具。

360漏洞云监测到Apache OFBiz存在信息泄露漏洞（CVE-2021-25958）。用户可通过注册一个非常长的密码并尝试用该密码登录，使得OFBiz返回包含敏感信息的错误消息。

0x02 危害等级

中危：6.5

0x03 影响版本

17.12.01 <= Apache OFBiz <= v17.12.07

0x04 修复建议

厂商已发布补丁修复漏洞，用户请尽快安装更新。

信息泄露ofbiz

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

漏洞情报 | Apache OFBiz 信息泄露漏洞

2021-08-31 21:17:32

360漏洞云监测到Apache OFBiz存在信息泄露漏洞（CVE-2021-25958）。

一款漏洞检测工具（460个poc）可使用fofa采集自动化

2023-04-17 10:13:56

F-vuln（全称：Find-Vulnerability）是为了自己工作方便专门编写的一款自动化工具，主要适用于日常安全服务、渗透测试人员和RedTeam红队人员，它集合的功能包括：存活IP探测、开放端口探测、web服务探测、web漏洞扫描、smb爆破、ssh爆破、ftp爆破、mssql爆破等其他数据库爆破工作以及大量web漏洞检测模块。

网络空间安全动态第133期

2021-03-30 00:00:00

一、发展动向热讯

信息泄露！网站、App瘫痪！SAS航空公司再次遭黑客入侵

2023-06-09 16:48:22

事实上，这已经是SAS公司今年第二次被该黑客组织攻击，官方网站、APP无法登录，以及乘客敏感数据的泄露，给SAS公司造成了严重的声誉下降。此次攻击打乱了SAS多达800多个定期航班，影响了其飞往世界各地的130多个目的地的运营。目前，苏丹黑客团伙已将赎金要求提高了50倍，从3500美元增加到 17500美元。该组织表示，只要有必要，他们就会继续攻击，直到瑞典、丹麦和挪威的主要航空公司付清费用。

信息泄露扫描工具 -- BBScan 2.0

2023-03-01 14:16:50

它可以在短时间内完成数十万目标的扫描，帮助渗透工程师从大量无标签的主机中，定位到可能存在弱点的目标，进行下一步半自动化测试，或者是开启重量级扫描器。因为其python插件扫描，跟作者即将释出的工具高度一致。

信息泄露，要强制隔离？别慌，这是电信诈骗

2022-08-08 14:42:00

太原市反诈骗中心通过预警发现，王女士与冒充公检法类诈骗电话通话时间较长。随即给王女士进行电话预警，成功阻断了这起电信诈骗案件。经了解，王女士于8月2日下午接到自称防疫中心的电话，随后又被转接至自称上海普陀公安局。对方谎称其身份信息泄露，在疫情高风险地区有出入记录，如不及时处理则会被强制隔离。经该中心工作人员耐心劝导讲解，王女士已认识到自己险些受骗。

信息泄露“伤人”于无形，数据安全防范分秒必争

2021-08-09 15:22:16

近日，美国电商巨头因违反欧盟数据保护条例，泄露用户隐私被监管局重罚近9亿，这是欧盟有史以来最大的数据隐私泄露罚款。刚刚结束的日本东京奥运会也出现购票者与志愿者的数据被泄露情况，相关负责人表示已经积极补救。

学生信息泄露不只在人大，网上最低 1 元就能买到 200 条

2023-07-10 14:12:49

《王某某侵犯公民个人信息刑事一审刑事判决书》显示，不法分子仅花费 1 千元就买到 18 万条学生信息，约等于只花 1 元就可以买到 200 个人的信息。

记一次src从信息泄露到任意文件下载

2023-06-25 09:16:37

Api.xxxxx?+?'files/download';?//?下载路径（系统配置）

乘客信息泄露！网站、App瘫痪！SAS航空公司再次遭黑客入侵

2023-05-26 09:12:47

大约在同一时间，匿名苏丹黑客团伙将这条信息置顶在他们加密的Telegram频道。随后，该组织提出3500美元的赎金来停止攻击。今年2月，匿名苏丹黑客组织声称对该航空公司的攻击是针对瑞典的情人节攻击的一部分，使SAS网站瘫痪了几个小时，并泄露了敏感的乘客数据。除了在瑞典的攻击，最近该团伙还加入了针对北约和欧盟成员国的KillNet活动。上个月，匿名者苏丹组织对以色列的关键基础设施发起了持续攻击。

VSole

网络安全专家