【安全通报】Apache OFBiz RMI反序列化前台命令执行（CVE-2021-26295）

近日，Apache OFBiz官方发布安全更新。Apache OFBiz 存在RMI反序列化前台命令执行，未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz，建议相关用户尽快测试漏洞修复的版本并及时升级。

CVE编号
CVE-2021-26295
影响范围
Apache OFBiz < 17.12.06
根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Apache_OFBiz"）共有 878 个相关服务对外开放。中国大陆使用数量最多，共有 201 个；美国第二，共有 180 个；印度第三，共有 149 个；德国第四，共有 80 个；韩国第五，共有 40 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）



中国大陆地区浙江使用数量最多，共有 15 个；上海第二，共有 8 个；北京第三，共有 6 个，湖南第四，共有 6 个；广东第五，共有 4 个。



修复方案
可更新至Apache OFBiz最新版。

下载地址：https://ofbiz.apache.org/download.html#vulnerabilities

或者应用漏洞补丁。

下载链接：https://github.com/apache/ofbiz-fr amework/commit/af9ed4e/

参考
[1] https://ofbiz.apache.org/download.html#vulnerabilities

[2] https://seclists.org/oss-sec/2021/q1/255



0x01漏洞简述
2021年03月22日，监测发现Apache官方发布了Apache OFBiz的风险通告，漏洞编号为CVE-2021-26295，漏洞等级：高危，漏洞评分：8.8。

OFBiz 是 Apache下属的企业ERP系统开发框架，该漏洞能允许未授权的远程攻击者直接在OFBiz服务器上执行任意代码。

对此，360CERT建议广大用户及时将Apacge OFBiz升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02风险等级
360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 一般
360CERT评分 8.8
0x03漏洞详情
CVE-2021-26295: 序列化漏洞
- CVE: CVE-2021-26295

- 组件: ofbiz

- 漏洞类型: 序列化漏洞

- 影响: 代码执行

- 简述: 该漏洞出现在ofbiz/base/util/SafeObjectInputStream.java中，该功能为框架中的通用序列化处理Class的工具类方法

0x04影响版本
- apache:ofbiz: <17.12.06

0x05修复建议
通用修补建议
升级到 OFBiz17.12.06