Apache OFBiz远程代码执行漏洞
发布时间 2021-03-220x00 漏洞概述
CVE ID | CVE-2021-26295 | 时 间 | 2021-03-22 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Apache OFBiz < 17.12.06 |
0x01 漏洞详情
OFBiz是一个著名的电子商务平台,现已成为Apache顶级项目。它提供了创建基于最新J2EE/XML规范和技术标准,主要用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。
2021年03月21日,Apache官方发布安全公告,公开了Apache OFBiz中的一个远程代码执行漏洞(CVE-2021-26295)。由于使用Java RMI(Java远程方法调用)导致不安全的反序列化,未经身份验证的攻击者可以通过利用此漏洞远程执行代码,最终控制Apache OFBiz。
0x02 处置建议
目前官方已修复了此漏洞,建议升级至Apache OFBiz 17.12.06。
下载链接:
https://ofbiz.apache.org/download.html
0x03 参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cf8a84478-af53-adb1-21c7-db3174e81b7b@apache.org%3E
https://ofbiz.apache.org/release-notes-17.12.06.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26295
0x04 时间线
2021-03-21 Apache发布安全公告
2021-03-22 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/