【漏洞预警】Apache OFBiz 未授权远程代码执行漏洞CVE-2023-49070

漏洞描述：

Apache OFBiz 是一个开源的企业资源计划系统。Apache XML-RPC 是 XML-RPC 的 Java 实现，XML-RPC 是一种使用 XML over HTTP 来实现远程过程调用的协议。由于OFBiz使用了有反序列化漏洞且不再维护的的XML-RPC（CVE-2019-17570），攻击者可以通过请求/webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y绕过针对/control/xmlrpc的接口过滤限制（CVE-2020-9496），从而使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码,在修复版本中，Apache OFBiz移除了XML-RPC的相关代码。

影响范围：
Apache OFBiz 版本< 18.12.10
注：OFBiz官方已于4月主分支代码中删除XML-RPC相关代码，但在Apache OFBiz的正式发布版本中，版本18.12.10彻底移除了XML-RPC功能。

修复方案：
升级ofbiz到18.12.10或更高版本

安全措施:
升级版本
目前该漏洞已经修复，受影响用户可升级到以下版本：
Apache OFBiz 版本>= 18.12.10

下载链接：
https://ofbiz.apache.org/download.html

临时措施:
若非必要可选择禁用XML-RPC接口，或通过网络层面的访问控制，限制对XML-RPC接口的访问。

通用建议:

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改

参考链接：
https://github.com/apache/ofbiz-framework/commit/c59336f604

https://seclists.org/oss-sec/2023/q4/257

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache OFBiz 未授权远程代码执行漏洞CVE-2023-49070