【高危】- Apache OFBiz远程代码执行漏洞预警
■ 漏洞描述
OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
CVE-2021-29200: 代码执行漏洞
由于Apache OFBiz存在Java RMI反序列化漏洞,未经身份验证的用户可以执行RCE攻击,导致服务器被接管。
CVE-2021-30128: 反序列化漏洞
由于Apache OFBiz存在不安全的反序列化,可能会导致代码执行,服务器被接管。
■ 影响范围
Apache:OFBiz: <17.12.07
■ 漏洞检测
匹配系统版本
■ 漏洞修复
升级至最新版本,下载链接:
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip
■ 临时修复
限制web服务内网访问或加waf防护
■ 漏洞详情
https://www.mail-archive.com/announce@apache.org/msg06506.html
https://www.mail-archive.com/announce@apache.org/msg06507.html
OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
CVE-2021-29200: 代码执行漏洞
由于Apache OFBiz存在Java RMI反序列化漏洞,未经身份验证的用户可以执行RCE攻击,导致服务器被接管。
CVE-2021-30128: 反序列化漏洞
由于Apache OFBiz存在不安全的反序列化,可能会导致代码执行,服务器被接管。
■ 影响范围
Apache:OFBiz: <17.12.07
■ 漏洞检测
匹配系统版本
■ 漏洞修复
升级至最新版本,下载链接:
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip
■ 临时修复
限制web服务内网访问或加waf防护
■ 漏洞详情
https://www.mail-archive.com/announce@apache.org/msg06506.html
https://www.mail-archive.com/announce@apache.org/msg06507.html