凯发k8

首页 > 清静研究 > 清静转达 > 清静通告

Apache OFBiz远程代码执行误差

宣布时间 2021-03-22

0x00 误差概述

CVE ID	CVE-2021-26295	时间	2021-03-22
类型	RCE	等级	高危
远程使用	是	影响规模	Apache OFBiz < 17.12.06

0x01 误差详情

OFBiz是一个著名的电子商务平台，，，，现已成为Apache顶级项目。。。。。。它提供了建设基于最新J2EE/XML规范和手艺标准，，，，主要用于构建大中型企业级、跨平台、跨数据库、跨应用效劳器的多层、漫衍式电子商务类WEB应用系统的框架。。。。。。

2021年03月21日，，，，Apache官方宣布清静通告，，，，果真了Apache OFBiz中的一个远程代码执行误差（CVE-2021-26295）。。。。。。由于使用Java RMI（Java远程要领挪用）导致不清静的反序列化，，，，未经身份验证的攻击者可以通过使用此误差远程执行代码，，，，最终控制Apache OFBiz。。。。。。

0x02 处置惩罚建议

现在官方已修复了此误差，，，，建议升级至Apache OFBiz 17.12.06。。。。。。

下载链接：

https://ofbiz.apache.org/download.html

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3Cf8a84478-af53-adb1-21c7-db3174e81b7b@apache.org%3E

https://ofbiz.apache.org/release-notes-17.12.06.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26295

0x04 时间线

2021-03-21 Apache宣布清静通告

2021-03-22 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯发k8 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】