[漏洞预警] Apache OFBiz RMI 反序列化任意代码执行漏洞

近日，Apache官方发布Apache OFBiz任意文件上传漏洞的风险通告。目前官方已修复该漏洞，建议受影响用户及时更新至安全版本进行防护，并做好资产自查以及预防工作，以免遭受黑客攻击。

2021年04月28日，Apache OFBiz官方发布了两个高危漏洞风险通告，Apache OFBiz在之前的版本中具有不安全的反序列化，攻击者成功利用漏洞可能触发RCE，腾讯安全专家建议受影响的用户及时将Apache OFBiz升级到最新版本。7 时间线 2021年4月27日，Apache OBFiz发布安全通告；2021年4月28日，腾讯安全发布风险通告。

360漏洞云监测到Apache OFBiz存在信息泄露漏洞（CVE-2021-25958）。

360漏洞云监测到 Apache OFBiz 存在任意文件上传漏洞（CVE-2021-37608）。

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2021年3月22日 Apache OFBiz官方发布安全更新，修复了一处由RMI反序列化造成的远程代码执行漏洞（CVE-2021-26295）。攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行，控制服务器。

01漏洞描述 Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2021年3月22日 Apache OFBiz官方发布安全更新，修复了一处由RMI反序列化造成的远程代码执行漏洞。02漏洞评级 Apache OFBiz 远程代码执行漏洞 严重 漏洞细节 漏洞PoC 漏洞EXP 在野利用 未公开 未公开 未公开 未知 03影响版本 Apache OFBiz < 04安全版本 Apache OFBiz 05安全建议 升级 Apache OFBiz 至安全版本。

此功能当前是选择加入的。此模块利用CVE-2020-9496，并利用未经验证的XML-RPC接口中的Java反序列化方法。最新的OFBiz版本修复了此漏洞。PR ＃13998 从 adfoster-R7 大大提高Metasploit工具的速度RPC调用。PR ＃13961 从dwelch-R7 增加了一个新RHOST_HTTP_URL的选择，它允许用户设定值RHOSTS，RPORT以及SSL通过指定单个URL。来自wvu-r7的 PR ＃14002修复了payload中的回归问题，在该回归中，空白坏字符没有被编码掉。PR ＃13974从dwelch-R7修正了一个错误认证lib/metasploit/framework/login_scanner/winrm造成的故障与没有接受的“基本”身份验证服务器模块。

最近两个月我一直在做拒绝服务漏洞相关的时间，并收获了Spring和Weblogic的两个CVE但DoS漏洞终归是鸡肋洞，并没有太大的意义，比如之前有人说我只会水垃圾洞而已，所以在以后可能打算做其他方向早上和pyn3rd师傅聊天

F-vuln（全称：Find-Vulnerability）是为了自己工作方便专门编写的一款自动化工具，主要适用于日常安全服务、渗透测试人员和RedTeam红队人员，它集合的功能包括：存活IP探测、开放端口探测、web服务探测、web漏洞扫描、smb爆破、ssh爆破、ftp爆破、mssql爆破等其他数据库爆破工作以及大量web漏洞检测模块。

一、发展动向热讯