天融信关于Apache OFBiz反序列化远程代码执行漏洞风险提示

0x00背景介绍

4 月28日,天融信阿尔法实验室监测到Apache OFBiz官方发布高危漏洞风险提示，此次更新修复了 两个高危漏洞，编号为CVE-2021-29200，CVE-2021-30128。

OFBiz是一个非常著名的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

OFBiz 已经正式成为 Apache 的顶级项目: Apache OFBiz。

0x01 漏洞描述

CVE-2021-30128

漏洞类型：不安全的反序列化

漏洞描述：Apache OFBiz在17.12.07之前的版本中存在不安全的反序列化

CVE-2021-29200

漏洞类型：Java RMI反序列化远程代码执行

漏洞描述： 17.12.07 版本之前存在不安全的反序列化，未经认证的用户可以执行RCE攻击

0x02漏洞编号

CVE-2021-29200

CVE-2021-30128

0x03漏洞等级

高危

0x04受影响版本

Apache OFBiz < 17.12.07

0x05修复建议