更新时间:2023-01-15 15:38
漏洞背景
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
漏洞允许用户未授权访问SOAPService接口,通过该接口攻击者可以利用ofbiz的反序列化远程命令执行来获得服务器权限。
漏洞影响范围
Ofbiz:< 17.12.07
漏洞等级
高危
规则防护
云防火墙虚拟补丁已支持防护
规则类型
代码执行
修复建议
更新至Apache OFBiz最新版。
下载地址:https://ofbiz.apache.org/download.html#vulnerabilities