- cnnvd编号:未知
- 危害等级: 未知
- cve编号:cve-2021-29200/cve-2021-30128
- 漏洞类型: 远程代码执行
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-05-21
- 更新时间:2021-05-21
漏洞简介
1、组件介绍
apache ofbiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新j2ee/xml规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类web应用系统的框架。
apache ofbiz最主要的特点是ofbiz提供了一整套的开发基于java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎,工作流引擎,规则引擎等。
2、漏洞描述
2021年4月27日,深信服安全团队监测到apache ofbiz官方发布安全通告,通告披露了apache ofbiz组件存在远程代码执行漏洞,漏洞编号:cve-2021-29200、cve-2021-30128。
(1) cve-2021-29200漏洞描述
apache ofbiz未对用户的输入做合法的过滤,攻击者可以在未授权的情况下执行任意代码,获取服务器权限。
(2) cve-2021-30128漏洞描述
apache ofbiz未对用户的输入做合法的过滤,攻击者可以构造恶意数据,执行任意代码,获取服务器权限。
3、漏洞复现
搭建apache ofbiz组件版本17.12.06环境,复现漏洞,效果如下:
1. cve-2021-29200
2. cve-2021-30128
漏洞公示
如何检测组件系统版本
访问apache ofbiz登录正规网赌十大娱乐棋牌主页面,在右下角可以看到当前版本信息:
参考网站
受影响实体
apache ofbiz是一个著名的电子商务平台,已经正式成为apache的顶级项目:apache ofbiz。世界上有上千个企业在某方面或多方面依赖于ofbiz。
目前受影响的apache ofbiz版本:
apache ofbiz < 17.12.07
补丁
1、官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
2、深信服正规网赌十大娱乐棋牌的解决方案
【深信服下一代防火墙】可防御此漏洞, 建议用户将深信服下一代防火墙开启ips/waf防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。
【深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
