Apache OFBiz 代码执行、反序列化漏洞安全风险通告

发布日期：2021-4-29

漏洞描述

2021年04月28日，监测发现Apache OFBiz发布了漏洞风险通告，共包含2个漏洞，漏洞编号分别为CVE-2021-29200，CVE-2021-30128。

OFBiz是基于Java的Web框架，其提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

对此，建议广大用户及时将Apache OFBiz升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

漏洞编号

CVE-2021-30128

漏洞危害

CVE-2021-29200: 代码执行漏洞

由于Apache OFBiz存在Java RMI反序列化漏洞，未经身份验证的用户可以执行RCE攻击，导致服务器被接管。

CVE-2021-30128: 反序列化漏洞

由于Apache OFBiz存在不安全的反序列化，可能会导致代码执行，服务器被接管。

漏洞等级

高危
受影响版本

Apache OFBiz < 17.12.07

修复方案

• 升级Apache OFBiz至最新版本

参考链接

1、 CVE-2021-29200

https://www.mail-archive.com/announce@apache.org/msg06506.html

2、 CVE-2021-30128

https://www.mail-archive.com/announce@apache.org/msg06507.html