查看原文
其他

速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

Ravie Lakshmanan 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

上周五,Apache Software 基金会修复了 Apache OFBiz 中的一个高危漏洞,本可导致未认证攻击者远程控制这个开源企业资源规划 (ERP) 软件。


这个高危漏洞的编号是 CVE-2021-2695,影响17.12.06之前的所有 Apache OFBiz 软件。攻击者以“不安全的反序列化”作为攻击向量,直接在服务器上远程执行任意代码。

OFBiz 是一款基于 Java 的 Web 框架,用于将企业进程自动化并提供大量功能如会计、客户关系管理、制造操作管理、订单管理、供应链实现以及仓库管理系统等。

具体而言,恶意人员可利用该漏洞篡改序列化数据以插入任意代码,当进行反序列化时,可导致远程代码执行后果。

OFBiz 的开发人员 Jacques Le Roux 指出,“未认证攻击者可利用该漏洞成功接管 Apache OFBiz。”

不安全的反序列化是引发数据完整性和其它安全问题的来源,OWASP 就,“不受信任的数据无法受信任具有良好的格式,恶意数据或不受信任的数据在反序列化时,可被用于滥用应用逻辑、拒绝服务或执行任意代码。

建议用户立即更新至 Apache OFBiz 最新版本 (17.12.06) 缓解风险。




推荐阅读
开源组件XStream 修复11个漏洞并公开 PoC
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析



参考链接

https://thehackernews.com/2021/03/critical-rce-vulnerability-found-in.html


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存