【安全通报】Apache OFBiz RMI反序列化前台命令执行(CVE-2...

image-20210322095207187.png

OFBiz是基于Java的Web框架,包括实体引擎,服务引擎和基于小部件的UI。

近日,Apache OFBiz官方发布安全更新。Apache OFBiz 存在RMI反序列化前台命令执行,未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz,建议相关用户尽快测试漏洞修复的版本并及时升级。

CVE编号

CVE-2021-26295

FOFA查询

app="Apache_OFBiz"

影响范围

  • Apache OFBiz < 17.12.06

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Apache_OFBiz")共有 878 个相关服务对外开放。中国大陆使用数量最多,共有 201 个;美国第二,共有 180 个;印度第三,共有 149 个;德国第四,共有 80 个;韩国第五,共有 40 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20210322100655737.png

中国大陆地区浙江使用数量最多,共有 15 个;上海第二,共有 8 个;北京第三,共有 6 个,湖南第四,共有 6 个;广东第五,共有 4 个。

image-20210322100915452.png

Vulfocus靶场环境 

目前 Vulfocus 已经集成 Apache OFBiz 环境,可通过以下命令进行拉取运行:

docker pull vulfocus/apache-ofbiz-cve_2021_26295:latest docker run -d -P vulfocus/apache-ofbiz-cve_2021_26295

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。


修复方案

  1. 可更新至Apache OFBiz最新版。

    下载地址:https://ofbiz.apache.org/download.html#vulnerabilities

  2. 或者应用漏洞补丁。

    下载链接:https://github.com/apache/ofbiz-fr amework/commit/af9ed4e/

参考

[1] https://ofbiz.apache.org/download.html#vulnerabilities

[2] https://seclists.org/oss-sec/2021/q1/255

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐