【风险通告】Apache OFBiz 远程代码执行漏洞

2021年4月28日，雁行安全团队监测到 Apache 官方发布了 Apache OFBiz 远程代码执行漏洞（CVE-2021-29200/30128） 的风险通告，漏洞概况如下：

CVE编号	CVE-2021-29200/30128
风险等级	高危
漏洞类型	远程代码执行

漏洞详情

Apache OFBiz是美国阿帕奇（Apache）软件基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache OFBiz < 17.12.07版本 存在 远程代码执行漏洞，未授权 的攻击者可通过发送精心构造的恶意请求，触发 反序列化，造成 远程代码执行，从而获取 服务器权限。雁行安全团队提醒 Apache OFBiz 用户尽快采取安全措施阻止漏洞攻击。

漏洞影响范围

Apache OFBiz < 17.12.07

修复建议

及时更新到最新版本：

https://ofbiz.apache.org/download.html#vulnerabilities

参考链接

https://www.mail-archive.com/[email protected]/msg06506.html

https://www.mail-archive.com/[email protected]/msg06507.html

应急支持

如需应急支持，请联系雁行安全团队。

应急响应联系电话：400-029-4789 【转2】

雁行安全团队

专注于为客户提供网络信息化安全服务

西安四叶草安全雁行安全团队，以攻防技术作为核心竞争力，集红队攻防、漏洞挖掘、安全服务为一体，拥有10余年安全服务经验，4100+安全服务项目经验，服务项目涵盖了政府、金融、运营商、卫计、交通、企业、互联网等多个行业，通过将来自一线的经验变成用户所需要的安全服务，从而保障客户相关重要系统和资源的安全，有效地减少用户单位由于安全问题引起的不可估量的损失。

雁行安全团队

让安全风险可控，防御更简单

四叶草安全

雁行安全团队

原文始发于微信公众号（雁行安全团队）：【风险通告】Apache OFBiz 远程代码执行漏洞