Apache OFBiz 远程代码执行漏洞风险通告

2021年04月28日，Apache OFBiz官方发布了两个高危漏洞风险通告，Apache OFBiz在17.12.07之前的版本中具有不安全的反序列化，攻击者成功利用漏洞可能触发RCE(远程代码执行)，腾讯安全专家建议受影响的用户及时将Apache OFBiz升级到最新版本。

1 漏洞详情

CVE-2021-29200：Java RMI反序列化漏洞

CVE-2021-30128：反序列化漏洞

OFBiz是著名的电子商务平台，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

2 漏洞等级

严重，漏洞评分：9.8。

3 受影响的版本

Apache OFBiz < 17.12.07

4 安全版本

Apache OFBiz 17.12.07

5 腾讯安全网络空间测绘

腾讯安全网络空间测绘系统对全网资产测绘结果显示，OFBiz组件主要分布于美国、中国、印度（合计超75%），中国大陆地区，浙江（43.14%）、上海(29.41%)、北京(9.80%)位居前三，三省市合计占比超过80%。

腾讯安全网络空间测绘平台通过空间测绘技术，可针对该类漏洞进行监测与响应，如有需要可联系 es@tencent.com 了解产品详情。

6 漏洞修复建议

腾讯安全专家建议受影响的用户升级Apache OFBiz 到最新版本
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip

注：修复漏洞前请将资料备份，并进行充分测试。

7 时间线

2021年4月27日，Apache OBFiz发布安全通告；
2021年4月28日，腾讯安全发布风险通告。

https://www.mail-archive.com/announce@apache.org/msg06506.html
https://www.mail-archive.com/announce@apache.org/msg06507.html

原创：腾讯安全威胁情报中心
原文链接：https://mp.weixin.qq.com/s/g9MzLdGnq8tL_Iu...