发布时间:2021-04-28 15:59:12,来源:北京奇虎科技有限公司
一、基本情况
近日,监测发现Apache发布OFBiz存在两个高危漏洞风险通告,相应CVE漏洞编号:CVE-2021-29200,CVE-2021-30128。攻击者可利用漏洞进行远程代码攻击,导致服务器被接管。建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞描述
Apache OFBiz是Apache软件基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。
CVE-2021-29200: 代码执行漏洞
由于Apache OFBiz存在Java RMI反序列化漏洞,未经身份验证的攻击者可以执行远程代码攻击,导致服务器被接管。
CVE-2021-30128: 反序列化漏洞
由于Apache OFBiz存在不安全的反序列化漏洞,可能会导致代码执行,从而服务器被接管。
三、 影响范围
Apache OFBiz <17.12.07
四、 安全建议
建议受影响用户及时升级至最新版本进行防护。链接如下:https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip
五、 参考链接
https://lists.apache.org/thread.html/r108a964764b8bd21ebd32ccd4f51c183ee80a251c105b849154a8e9d@%3Ccommits.ofbiz.apache.org%3E
https://lists.apache.org/thread.html/r108a964764b8bd21ebd32ccd4f51c183ee80a251c105b849154a8e9d@%3Ccommits.ofbiz.apache.org%3E