近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。Apache OFBiz中此过时组件的存在引入了一个严重漏洞。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
对此,厂商已发布修复版本。鉴于该漏洞存在一定影响,亚信安全CERT建议使用受影响版本的用户及时关注官方更新,参照官方修复方案尽快采取相关措施,做好资产自查以及预防工作,以免遭受黑客攻击。
Apache OFBiz是一个流行的开源企业资源规划(ERP)软件,为各个行业提供了一套全面的业务应用程序。
漏洞编号、等级和类型
漏洞状态
受影响版本
修复建议
目前该漏洞已经修复,受影响用户可升级ofbiz到18.12.10或更高版本
https://ofbiz.apache.org/download.html
参考链接
https://ofbiz.apache.org/security.html
https://seclists.org/oss-sec/2023/q4/257
https://github.com/apache/ofbiz-framework/commit/c59336f604
https://nvd.nist.gov/vuln/detail/CVE-2023-49070