有声,完美世界有声小说,盗墓笔记小说下载

【漏洞通告】Apache OFBiz 代碼執(zhí)行、反序列化漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-29200、CVE-2021-30128）

Apache OFBiz 代碼執(zhí)行、反序列化漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-4-29

漏洞描述

2021年04月28日，監(jiān)測(cè)發(fā)現(xiàn)Apache OFBiz發(fā)布了漏洞風(fēng)險(xiǎn)通告，共包含2個(gè)漏洞，漏洞編號(hào)分別為CVE-2021-29200，CVE-2021-30128。

OFBiz是基于Java的Web框架，其提供了創(chuàng)建基于最新J2EE/XML規(guī)范和技術(shù)標(biāo)準(zhǔn)，構(gòu)建大中型企業(yè)級(jí)、跨平臺(tái)、跨數(shù)據(jù)庫(kù)、跨應(yīng)用服務(wù)器的多層、分布式電子商務(wù)類WEB應(yīng)用系統(tǒng)的框架。OFBiz最主要的特點(diǎn)是OFBiz提供了一整套的開(kāi)發(fā)基于Java的web應(yīng)用程序的組件和工具。包括實(shí)體引擎, 服務(wù)引擎, 消息引擎, 工作流引擎, 規(guī)則引擎等。

對(duì)此，建議廣大用戶及時(shí)將Apache OFBiz升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

漏洞編號(hào)

CVE-2021-30128

漏洞危害

CVE-2021-29200: 代碼執(zhí)行漏洞

由于Apache OFBiz存在Java RMI反序列化漏洞，未經(jīng)身份驗(yàn)證的用戶可以執(zhí)行RCE攻擊，導(dǎo)致服務(wù)器被接管。

CVE-2021-30128: 反序列化漏洞

由于Apache OFBiz存在不安全的反序列化，可能會(huì)導(dǎo)致代碼執(zhí)行，服務(wù)器被接管。

漏洞等級(jí)

高危
受影響版本

Apache OFBiz < 17.12.07

修復(fù)方案

升級(jí)Apache OFBiz至最新版本

參考鏈接

1、 CVE-2021-29200

https://www.mail-archive.com/announce@apache.org/msg06506.html

2、 CVE-2021-30128

https://www.mail-archive.com/announce@apache.org/msg06507.html

漏洞播報(bào)

【漏洞通告】Apache OFBiz 代碼執(zhí)行、反序列化漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-29200、CVE-2021-30128）

聯(lián)系我們：cert@chaosec.com

【漏洞通告】Apache OFBiz 代碼執(zhí)行、反序列化漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-29200、CVE-2021-30128）