打开微信“扫一扫”,开启安全数字世界之旅
香港正版精选资料
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

高危!Apache OFBiz未授权远程代码执行漏洞风险通告
发布时间 :2023年12月06日
分享:

近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。Apache OFBiz中此过时组件的存在引入了一个严重漏洞。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。


对此,厂商已发布修复版本。鉴于该漏洞存在一定影响,亚信安全CERT建议使用受影响版本的用户及时关注官方更新,参照官方修复方案尽快采取相关措施,做好资产自查以及预防工作,以免遭受黑客攻击。


Apache OFBiz是一个流行的开源企业资源规划(ERP)软件,为各个行业提供了一套全面的业务应用程序。


漏洞编号、等级和类型


  • CVE-2023-49070

  • 高危

  • 代码执行


漏洞状态

香港正版精选资料


受影响版本

  • Apache OFBiz 18.12.10之前的版本


修复建议


目前该漏洞已经修复,受影响用户可升级ofbiz到18.12.10或更高版本

https://ofbiz.apache.org/download.html


参考链接

  • https://ofbiz.apache.org/security.html

  • https://seclists.org/oss-sec/2023/q4/257

  • https://github.com/apache/ofbiz-framework/commit/c59336f604

  • https://nvd.nist.gov/vuln/detail/CVE-2023-49070


分享到微信
X