首頁 > 安全研究 > 安全通報 > 安全通告

Apache OFBiz 遠程代碼執行漏洞(CVE-2021-29200)

發布時間 2021-04-28

0x00 漏洞概述

CVE  ID

CVE-2021-29200

時   間

2021-04-28

類   型

RCE

等   級

高危

遠程利用

影響范圍

Apache OFBiz < 17.12.07

PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

OFBiz是一個著名的電子商務平臺,現已成為Apache頂級項目。它提供了創建基于最新J2EE/XML規范和技術標準,主要用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類WEB應用系統的框架。

2021年04月27日,Apache官方發布安全公告,公開了Apache OFBiz中的一個遠程代碼執行漏洞(CVE-2021-29200)和一個反序列化漏洞(CVE-2021-30128)。

Apache OFBiz反序列化漏洞(CVE-2021-30128)

Apache OFBiz在17.12.07之前的版本中存在反序列化漏洞。

 

Apache OFBiz遠程代碼執行漏洞(CVE-2021-29200)

由于使用RMI(遠程方法調用)導致不安全的反序列化,未經身份驗證的攻擊者可以通過利用此漏洞遠程執行代碼。

 

0x02 處置建議

目前官方已修復了此漏洞,建議升級到Apache OFBiz 17.12.07或更高版本。

下載鏈接:

https://ofbiz.apache.org/download.html#vulnerabilities

 

0x03 參考鏈接

http://mail-archives.apache.org/mod_mbox/www-announce/202104.mbox/%3Cfec5f041-0cc9-730f-478c-15926792b2a7@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202104.mbox/%3C74ac1d8c-ad68-3ceb-8445-624bce15087f@apache.org%3E

https://ofbiz.apache.org/release-notes-17.12.07.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30128

 

0x04 時間線

2021-04-27  Apache發布安全公告

2021-04-28  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇