GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Apache OFBiz 远程代码执行缝隙（CVE-2021-29200）

颁布功夫 2021-04-28

0x00 缝隙概述

CVE ID	CVE-2021-29200	时间	2021-04-28
类型	RCE	等级	高危
远程利用	是	影响领域	Apache OFBiz < 17.12.07
PoC/EXP	未公开	在野利用	否

0x01 缝隙详情

OFBiz是一个驰名的电子商务平台，现已成为Apache顶级项目。它提供了创建基于最新J2EE/XML规范和技术尺度，重要用于构建大中型企业级、跨平台、跨数据库、跨利用服务器的多层、散布式电子商务类WEB利用系统的框架。

2021年04月27日，Apache官方颁布安全布告，公开了Apache OFBiz中的一个远程代码执行缝隙（CVE-2021-29200）和一个反序列化缝隙（CVE-2021-30128）。

Apache OFBiz反序列化缝隙（CVE-2021-30128）

Apache OFBiz在17.12.07之前的版本中存在反序列化缝隙。

Apache OFBiz远程代码执行缝隙（CVE-2021-29200）

由于使用RMI（远程步骤挪用）导致不安全的反序列化，未经身份验证的攻击者能够通过利用此缝隙远程执行代码。

0x02 措置建议

目前官方已建复了此缝隙，建议升级到Apache OFBiz 17.12.07或更高版本。

下载链接：

https://ofbiz.apache.org/download.html#vulnerabilities

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202104.mbox/%3Cfec5f041-0cc9-730f-478c-15926792b2a7@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202104.mbox/%3C74ac1d8c-ad68-3ceb-8445-624bce15087f@apache.org%3E

https://ofbiz.apache.org/release-notes-17.12.07.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30128

0x04 功夫线

2021-04-27 Apache颁布安全布告

2021-04-28 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】