首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Apache OFBiz任意文件上傳漏洞 (CVE-2021-37608)

發布時間 2021-08-12



0x00 漏洞概述

CVE     ID

CVE-2021-37608

時      間

2021-08-11

類      型

文件上傳

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性

用戶交互

所需權限


PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

 

Apache OFBiz是一款企業流程自動化軟件,可以幫助用戶實現企業內業務的自動化,它為用戶提供了如ERP企業資源規劃、CRM客戶關系管理等多種管理功能。

2021年8月11日,Apache發布安全公告,公開了OFBiz中的一個任意文件上傳漏洞(CVE-2021-37608)。由于Apache OFBiz存在校驗錯誤,惡意攻擊者可以利用此漏洞上傳任意文件,并遠程執行惡意代碼。

 

影響范圍

Apache OFBiz < 17.12.08

 

0x02 處置建議

目前此漏洞已經修復。建議受影響用戶及時升級更新到17.12.08或更高版本。

下載鏈接:

http://ofbiz.apache.org/download.html#vulnerabilities

 

補丁鏈接:

https://issues.apache.org/jira/browse/OFBIZ-12297

 

0x03 參考鏈接

http://mail-archives.apache.org/mod_mbox/www-announce/202108.mbox/%3C40716d3e-150d-10d6-ee27-aca4ae0480fb@apache.org%3E

https://issues.apache.org/jira/browse/OFBIZ-12297

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37608

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-08-12

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

上一篇 下一篇