- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
BOB登陆
盾山實驗室
2023/12/06
Apache OFBiz是一個基於Java語言開發的開源企業資源規劃(ERP)係統和電子商務平台。提供客戶關係管理(CRM)、供應鏈管理(SCM)、產品生命周期管理(PLM)、物料需求規劃(MRP)等企業管理功能,幫助組織管理他們的業務流程、提高效率並降低成本,還可以根據企業的需求進行定製和擴展近日。BOB登陆 盾山實驗室監測到Apache官方發布了安全公告,修複了一個存在於OFBiz中的一個遠程代碼執行漏洞(CVE-2023-49070),攻擊者可利用該漏洞執行任意代碼。
由於Apache OFBiz XML-RPC存在曆史的反序列化漏洞(CVE-2020-9496)(未修複,XML-RPC官方不再維護),未經身份驗證的惡意攻擊者通過構造特殊請求,成功利用此漏洞可在目標服務器上執行任意代碼,獲取目標服務器的控製權限。
通過構造特殊請求,利用反序列化反彈shell,shell反彈成功。
Apache Ofbiz < 18.12.10
威脅等級 | 嚴重 |
影響程度 | 廣泛 |
利用價值 | 高 |
利用難度 | 低 |
漏洞評分 | 9.8 |
目前官方已修複該漏洞,受影響用戶可以升級更新到安全版本。官方下載鏈接:https://ofbiz.apache.org/download.html
1、BOB登陆 安全設備防護方案
BOB登陆 IPS規則庫將在1.0.272版本支持對該漏洞的識別,BOB登陆 全係安全產品可通過升級IPS特征庫識別該漏洞的攻擊流量,並進行主動攔截。
2、BOB登陆 態勢感知解決方案
BOB登陆 態勢感知已支持該漏洞的檢測,通過信息搜集整合、數據關聯分析等綜合研判手段,發現網絡中遭受該漏洞攻擊及失陷的資產。
3、BOB登陆 雲安全能力中心解決方案
BOB登陆 雲安全能力中心知識庫已更新該漏洞信息,可查詢對應漏洞產生原理、升級補丁、修複措施等。
https://ofbiz.apache.org/index.html
https://github.com/advisories/GHSA-6vwp-35w3-xph8
產品與解決方案
