首頁 > 安全研究 > 安全通報 > 安全通告

Apache OFBiz遠程代碼執行漏洞

發布時間 2021-03-22

0x00 漏洞概述

CVE  ID

CVE-2021-26295

時   間

2021-03-22

類   型

 RCE

等   級

高危

遠程利用

影響范圍

Apache OFBiz < 17.12.06

 

0x01 漏洞詳情

image.png

 

OFBiz是一個著名的電子商務平臺,現已成為Apache頂級項目。它提供了創建基于最新J2EE/XML規范和技術標準,主要用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類WEB應用系統的框架。

2021年03月21日,Apache官方發布安全公告,公開了Apache OFBiz中的一個遠程代碼執行漏洞(CVE-2021-26295)。由于使用Java RMI(Java遠程方法調用)導致不安全的反序列化,未經身份驗證的攻擊者可以通過利用此漏洞遠程執行代碼,最終控制Apache OFBiz。

 

0x02 處置建議

目前官方已修復了此漏洞,建議升級至Apache OFBiz 17.12.06。

下載鏈接:

https://ofbiz.apache.org/download.html

 

0x03 參考鏈接

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cf8a84478-af53-adb1-21c7-db3174e81b7b@apache.org%3E

https://ofbiz.apache.org/release-notes-17.12.06.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26295

 

0x04 時間線

2021-03-21  Apache發布安全公告

2021-03-22  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇