Apache OFBiz 远程代码执行误差(CVE-2021-29200)

宣布时间 2021-04-28

0x00 误差概述

CVE  ID

CVE-2021-29200

时   间

2021-04-28

类   型

RCE

等   级

高危

远程使用

影响规模

Apache OFBiz < 17.12.07

PoC/EXP

未果真

在野使用

 

0x01 误差详情

image.png

OFBiz是一个著名的电子商务平台,,,,,现已成为Apache顶级项目。。。。。。它提供了建设基于最新J2EE/XML规范和手艺标准,,,,,主要用于构建大中型企业级、跨平台、跨数据库、跨应用效劳器的多层、漫衍式电子商务类WEB应用系统的框架。。。。。。

2021年04月27日,,,,,Apache官方宣布清静通告,,,,,果真了Apache OFBiz中的一个远程代码执行误差(CVE-2021-29200)和一个反序列化误差(CVE-2021-30128)。。。。。。

Apache OFBiz反序列化误差(CVE-2021-30128)

Apache OFBiz在17.12.07之前的版本中保存反序列化误差。。。。。。

 

Apache OFBiz远程代码执行误差(CVE-2021-29200)

由于使用RMI(远程要领挪用)导致不清静的反序列化,,,,,未经身份验证的攻击者可以通过使用此误差远程执行代码。。。。。。

 

0x02 处置惩罚建议

现在官方已修复了此误差,,,,,建议升级到Apache OFBiz 17.12.07或更高版本。。。。。。

下载链接:

https://ofbiz.apache.org/download.html#vulnerabilities

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202104.mbox/%3Cfec5f041-0cc9-730f-478c-15926792b2a7@apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202104.mbox/%3C74ac1d8c-ad68-3ceb-8445-624bce15087f@apache.org%3E

https://ofbiz.apache.org/release-notes-17.12.07.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30128

 

0x04 时间线

2021-04-27  Apache宣布清静通告

2021-04-28  VSRC宣布清静通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png