近日,Apache OFBiz官方发布安全更新。Apache OFBiz 存在RMI反序列化前台命令执行,未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz,建议相关用户尽快测试漏洞修复的版本并及时升级。
CVE编号
CVE-2021-26295
影响范围
Apache OFBiz < 17.12.06
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Apache_OFBiz")共有 878 个相关服务对外开放。
中国大陆使用数量最多,共有 201 个;美国第二,共有 180 个;印度第三,共有 149 个;德国第四,共有 80 个;韩国第五,共有 40 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区
浙江使用数量最多,共有 15 个;上海第二,共有 8 个;北京第三,共有 6 个,湖南第四,共有 6 个;广东第五,共有 4 个。
修复方案
可更新至Apache OFBiz最新版。
下载地址:https://ofbiz.apache.org/download.html#vulnerabilities
或者应用漏洞补丁。
下载链接:https://github.com/apache/ofbiz-fr amework/commit/af9ed4e/
参考
[1] https://ofbiz.apache.org/download.html#vulnerabilities
[2] https://seclists.org/oss-sec/2021/q1/255
0x01漏洞简述
2021年03月22日,监测发现Apache官方发布了Apache OFBiz的风险通告,漏洞编号为CVE-2021-26295,漏洞等级:高危,漏洞评分:8.8。
OFBiz 是 Apache下属的企业ERP系统开发框架,该漏洞能允许未授权的远程攻击者直接在OFBiz服务器上执行任意代码。
对此,360CERT建议广大用户及时将Apacge OFBiz升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02风险等级
360CERT对该漏洞的评定结果如下
评定方式 等级
威胁等级 高危
影响面 一般
360CERT评分 8.8
0x03漏洞详情
CVE-2021-26295: 序列化漏洞
- CVE: CVE-2021-26295
- 组件: ofbiz
- 漏洞类型: 序列化漏洞
- 影响: 代码执行
- 简述: 该漏洞出现在ofbiz/base/util/SafeObjectInputStream.java中,该功能为框架中的通用序列化处理Class的工具类方法
0x04影响版本
- apache:ofbiz: <17.12.06
0x05修复建议
通用修补建议
升级到 OFBiz17.12.06
分享到:
相关推荐
CVE-2021-26295 Apache OFBiz 反序列化漏洞
CVE-2021-26295-Apache-OFBiz CVE-2021-26295 Apache OFBiz rmi反序列化POC需要将ysoserial.jar放置在目录下,并且不能使用java的高版本
CVE-2020-9496 ofbiz反序列化漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
### Apache OFBiz Cookbook 知识点解析 #### 一、Apache OFBiz 概述 - **定义**:Apache OFBiz(Open For Business)是一款开源的企业级应用框架,它集成了ERP(企业资源规划)、CRM(客户关系管理)以及E-...
### Apache OFBiz 开发入门教程知识点汇总 #### Apache OFBiz 概述 - **社区驱动的开源项目**:Apache OFBiz 是一个完全免费且由社区维护的开源项目。 - **功能强大**:作为最佳电子商务与企业资源规划(ERP)软件...
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件...
apache-ofbiz-16.11.02.zip,ofbiz菜鸟笔记,Apache+OFBiz+开发初学者指南.chm
OFBiz XXE Apache OFBiz < 16.11.04 的 XXE 注入(文件泄露)漏洞利用 信息 16.11.04 版本之前的 Apache OFBiz 包含两个不同的 XXE 注入漏洞。 每个漏洞的公开披露可以在下面找到: [1] [2] 此漏洞利用针对链接 1...
根据给定的文件信息,以下是关于Apache OFBiz开发的知识点: 1. OFBiz介绍与安装:OFBiz是一个开源的企业自动化软件套件,它提供了构建企业应用程序所需的各种功能,比如电子商务、订单处理等。文件中提到了2008年...
最新版OFBiz,apache-ofbiz-16.11.05,apache-ofbiz-16.11.05
Apache OFBiz企业流程自动化 v18.12.06.zip
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件...
Apache OFBiz是一个全面的企业应用程序框架,专为自动化各种业务流程而设计。它是开源社区的产物,提供了一套灵活且可扩展的组件,用于构建和管理电子商务、供应链、CRM(客户关系管理)、ERP(企业资源规划)等解决...
Apache OFBiz Datamodel 2
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 ...
### Apache OFBiz Datamodel 4 知识点详解 #### 一、Apache OFBiz Datamodel 概述 Apache OFBiz 是一个开源的企业级电子商务框架,它提供了完整的业务流程管理、内容管理和电子交易处理功能。OFBiz Datamodel 作为...
### Apache OFBiz Datamodel 3 #### 概述 Apache OFBiz Datamodel 3 是一个高级的数据模型系统,主要用于管理电子商务、供应链管理等业务场景下的数据流与数据结构。OFBiz 本身是一款开源的企业级应用框架及应用...
Apache OFBiz是一种开源的电子商务解决方案,其全称为Open For Business。它是一个功能强大的企业级电子商务平台,能够在组织内部构建稳健的电子商业系统。本文档涵盖的内容以OFBiz 9.04版本为核心,详细介绍了OFBiz...