Apache OFBiz多个远程代码执行漏洞 - 山西鑫鼎宸科技股份有限公司

我的位置：

Apache OFBiz多个远程代码执行漏洞

漏洞简介

1、组件介绍

Apache OFBiz是一个非常著名的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

Apache OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎，工作流引擎，规则引擎等。

2、漏洞描述

2021年4月27日，深信服安全团队监测到Apache OFBiz官方发布安全通告，通告披露了Apache OFBiz组件存在远程代码执行漏洞，漏洞编号：CVE-2021-29200、CVE-2021-30128。

(1) CVE-2021-29200漏洞描述

Apache OFBiz未对用户的输入做合法的过滤，攻击者可以在未授权的情况下执行任意代码，获取服务器权限。

(2) CVE-2021-30128漏洞描述

Apache OFBiz未对用户的输入做合法的过滤，攻击者可以构造恶意数据，执行任意代码，获取服务器权限。

3、漏洞复现

搭建Apache OFBiz组件版本17.12.06环境，复现漏洞，效果如下：

1. CVE-2021-29200

2. CVE-2021-30128

如何检测组件系统版本

访问Apache OFBiz登录主页面，在右下角可以看到当前版本信息：

暂无

Apache OFBiz是一个著名的电子商务平台，已经正式成为Apache的顶级项目:Apache OFBiz。世界上有上千个企业在某方面或多方面依赖于OFBiz。

目前受影响的Apache OFBiz版本：

Apache OFBiz < 17.12.07

1、官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

2、深信服解决方案

【深信服下一代防火墙】可防御此漏洞，建议用户将深信服下一代防火墙开启IPS/WAF防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。

【深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该漏洞，并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。