apache ofbiz 远程代码执行漏洞
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:cve-2021-29200/cve-2021-30128
- 漏洞类型: 远程代码执行
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-05-10
- 更新时间:2021-05-10
漏洞简介
1、组件介绍
apache ofbiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新j2ee/xml规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类web应用系统的框架。apache ofbiz最主要的特点是ofbiz提供了一整套的开发基于java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎,工作流引擎,规则引擎等。
2、漏洞描述
2021年4月27日,深信服安全团队监测到apache ofbiz官方发布安全通告,通告披露了apache ofbiz组件存在远程代码执行漏洞,漏洞编号:cve-2021-29200、cve-2021-30128。详细信息如下:
cve-2021-29200
漏洞描述:apache ofbiz未对用户的输入做合法的过滤,攻击者可以在未授权的情况下执行任意代码,获取服务器权限。
cve-2021-30128
漏洞描述:apache ofbiz未对用户的输入做合法的过滤,攻击者可以构造恶意数据,执行任意代码,获取服务器权限。
漏洞公示
如何检测组件系统版本
访问apache ofbiz登录正规网赌十大娱乐棋牌主页面,在右下角可以看到当前版本信息:
参考网站
暂无
受影响实体
apache ofbiz是一个非常著名的电子商务平台,已经正式成为apache的顶级项目: apache ofbiz。世界上有上千个企业在某方面或多方面依赖于ofbiz。
目前受影响的apache ofbiz版本:
apache ofbiz < 17.12.07
补丁
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
