关于Apache OFBiz RMI反序列化任意代码执行漏洞预警通报

时间：2021-04-01 来源：四川省公安厅作者：佚名

　　2021年3月22日，ApacheOFBiz官方发布安全更新，修复了漏洞编号为CVE-2021-26295的远程代码执行漏洞。

　　一、漏洞描述

　　ApacheOFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2021年3月22日ApacheOFBiz官方发布安全更新，修复了一处由RMI反序列化造成的远程代码执行漏洞（CVE-2021-26295）。未经身份验证的攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行，控制服务器。

　　二、漏洞评级

　　ApacheOFBiz远程代码执行漏洞严重

　　三、影响版本

　　ApacheOFBiz<17.12.06

　　四、安全版本

　　ApacheOFBiz17.12.06

　　五、修复建议

　　升级ApacheOFBiz至安全版本。

　　六、参考链接

　　1.https://issues.apache.org/jira/projects/OFBIZ/issues/OFBIZ-12167?filter=doneissues

　　2.https://seclists.org/oss-sec/2021/q1/255

原文链接：http://gat.sc.gov.cn/scgat/c103388/2021/4/1/56bef316de594241bca7d81f2504f5f0.shtml