近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。Apache OFBiz中此过时组件的存在引入了一个严重漏洞。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
对此,厂商已发布修复版本。鉴于该漏洞存在一定影响,亚信安全CERT建议使用受影响版本的用户及时关注官方更新,参照官方修复方案尽快采取相关措施,做好资产自查以及预防工作,以免遭受黑客攻击。
Apache OFBiz是一个流行的开源企业资源规划(ERP)软件,为各个行业提供了一套全面的业务应用程序。
漏洞编号、等级和类型
-
CVE-2023-49070
-
高危
-
代码执行
漏洞状态
|
漏洞细节 |
PoC |
EXP |
在野利用 |
|
未公开 |
已发现 |
未发现 |
未发现 |
受影响版本
-
Apache OFBiz 18.12.10之前的版本
修复建议
修复建议
目前该漏洞已经修复,受影响用户可升级ofbiz到18.12.10或更高版本
https://ofbiz.apache.org/download.html
参考链接
-
https://ofbiz.apache.org/security.html
-
https://seclists.org/oss-sec/2023/q4/257
-
https://github.com/apache/ofbiz-framework/commit/c59336f604
-
https://nvd.nist.gov/vuln/detail/CVE-2023-49070
了解亚信安全,请点击“阅读原文”
原文始发于微信公众号(亚信安全):高危!Apache OFBiz未授权远程代码执行漏洞风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论