更新时间:2022-10-12 15:42
漏洞背景
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
CVE-2020-9496漏洞是Apache Ofbiz中xmlrpc接口的一个rce漏洞,攻击者可以利用未授权访问该接口,并且构造数据请求包,进行远程代码执行漏洞,获得系统权限。
漏洞影响范围
Ofbiz:< 17.12.04
漏洞等级
高危
规则防护
云防火墙虚拟补丁已支持防护
规则类型
命令执行
修复建议
更新至Apache OFBiz最新版