更新时间:2022-12-13 16:26
漏洞背景
Apache OFBiz是一个非常著名的电子商务平台,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。
2021年3月22日 Apache OFBiz官方发布安全更新,修复了一处由RMI反序列化造成的远程代码执行漏洞。攻击者可构造恶意请求,触发反序列化,从而造成任意代码执行,控制服务器。
漏洞影响范围
Apache OFBiz < 17.12.06
漏洞等级
高危
规则防护
云防火墙虚拟补丁已支持防护
规则类型
代码执行
修复建议
- Apache OFBiz更新至最新版,下载地址:https://ofbiz.apache.org/download.html#vulnerabilities
- 下载应用漏洞补丁,下载地址:https://github.com/apache/ofbiz-framework/commit/af9ed4e/