安全通告-Apache OFBiz 代码执行、反序列化漏洞
发布时间:2021-04-29
阅读次数:1351
漏洞描述
2021年04月28日,监测发现Apache OFBiz发布了漏洞风险通告,共包含2个漏洞,漏洞编号分别为CVE-2021-29200,CVE-2021-30128。
OFBiz是基于Java的Web框架,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
对此,建议广大用户及时将Apache OFBiz升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2021-30128、CVE-2021-29200
漏洞危害
CVE-2021-29200: 代码执行漏洞
由于Apache OFBiz存在Java RMI反序列化漏洞,未经身份验证的用户可以执行RCE攻击,导致服务器被接管。
CVE-2021-30128: 反序列化漏洞
由于Apache OFBiz存在不安全的反序列化,可能会导致代码执行,服务器被接管。
漏洞等级
高危
受影响版本
Apache OFBiz < 17.12.07
修复方案
1、升级Apache OFBiz至最新版本
参考链接
1、 CVE-2021-29200
https://www.mail-archive.com/announce@apache.org/msg06506.html
2、 CVE-2021-30128
https://www.mail-archive.com/announce@apache.org/msg06507.html
/
网络安全