其他
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
编译:奇安信代码卫士团队
这个高危漏洞的编号是 CVE-2021-2695,影响17.12.06之前的所有 Apache OFBiz 软件。攻击者以“不安全的反序列化”作为攻击向量,直接在服务器上远程执行任意代码。
OFBiz 是一款基于 Java 的 Web 框架,用于将企业进程自动化并提供大量功能如会计、客户关系管理、制造操作管理、订单管理、供应链实现以及仓库管理系统等。
具体而言,恶意人员可利用该漏洞篡改序列化数据以插入任意代码,当进行反序列化时,可导致远程代码执行后果。
OFBiz 的开发人员 Jacques Le Roux 指出,“未认证攻击者可利用该漏洞成功接管 Apache OFBiz。”
不安全的反序列化是引发数据完整性和其它安全问题的来源,OWASP 就,“不受信任的数据无法受信任具有良好的格式,恶意数据或不受信任的数据在反序列化时,可被用于滥用应用逻辑、拒绝服务或执行任意代码。
建议用户立即更新至 Apache OFBiz 最新版本 (17.12.06) 缓解风险。
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析
https://thehackernews.com/2021/03/critical-rce-vulnerability-found-in.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。