【漏洞情报】Apache OFBiz 反序列化漏洞通告

  • A+
所属分类:安全漏洞


Apache OFBiz



漏洞简介


2021年03月21日,Apache OFBiz披露了一个关于反序列化漏洞的通告, CVE号为CVE-2021-26295。目前Apache官方已公布相关漏洞解决措施,请广大用户做好漏洞自查以及预防工作,及时将Apache OFBiz升级到最新版本,以免遭受黑客攻击。

漏洞详情

Apache OFBiz 反序列化漏洞

  • 漏洞名称:Apache OFBiz 反序列化漏洞

  • 漏洞编号:CVE-2021-26295

  • 漏洞危害:高危

  • 漏洞类型:反序列化漏洞

  • CVSSv 3评分:8.5

  • 描述:该漏洞是由于处理序列化数据时的不安全输入验证造成的。未经授权的攻击者可以向应用程序传递精心构造的恶意数据,并在目标系统上执行任意代码。

  • 漏洞影响范围:

  • Apache OFBiz:<17.12.06

修复建议

升级Apache OFBiz到17.12.06版本

参考链接

1、CVE-2021-26295 RCE vulnerability in latest Apache OFBiz due to Java serialisation using RMI:

https://seclists.org/oss-sec/2021/q1/255


Forest Team


微信号|ForestTeam


本文始发于微信公众号(Forest Team):【漏洞情报】Apache OFBiz 反序列化漏洞通告

发表评论