OFBiz是一个非常著名的电子商务平台和开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎，工作流引擎，规则引擎等。

2、漏洞描述

2021年3月22日，深信服安全团队监测到一则Apache OFBiz组件存在反序列化远程代码执行漏洞的信息，漏洞编号：CVE-2021-26295，漏洞危害：高危。

该漏洞是由于未对用户的输入做合法的过滤，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

3、漏洞复现

访问OFBiz登录主页面，在右下角可以看到当前版本信息：

OFBiz是一个非常著名的电子商务平台，已经正式成为Apache的顶级项目: Apache OFBiz。世界上有上千个企业在某方面或多方面依赖于OFBiz。

目前受影响的Apache OFBiz版本：

Apache OFBiz < 17.12.06

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://ofbiz.apache.org/developers.html

2、深信服解决方案

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全云眼】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布，部署云端版云镜的用户只需选择紧急漏洞检测，即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。