近日,亞信安全CERT監(jiān)控到Apache OFBiz發(fā)布更新公告,修復了Apache OFBiz中的一個未授權遠程代碼執(zhí)行(CVE-2023-49070)。該漏洞源于Apache OFBiz中存在不再維護的XML-RPC組件。XML-RPC是一種遠程過程調用協(xié)議,它支持應用程序之間通過XML進行通信。雖然XML-RPC曾經被廣泛使用,但由于安全問題,它已被棄用。Apache OFBiz中此過時組件的存在引入了一個嚴重漏洞。利用該漏洞攻擊者可以在受影響的Apache OFBiz服務器上執(zhí)行任意代碼,而無需事先進行任何身份驗證。
對此,廠商已發(fā)布修復版本。鑒于該漏洞存在一定影響,亞信安全CERT建議使用受影響版本的用戶及時關注官方更新,參照官方修復方案盡快采取相關措施,做好資產自查以及預防工作,以免遭受黑客攻擊。
Apache OFBiz是一個流行的開源企業(yè)資源規(guī)劃(ERP)軟件,為各個行業(yè)提供了一套全面的業(yè)務應用程序。
漏洞編號、等級和類型
CVE-2023-49070
高危
代碼執(zhí)行
漏洞狀態(tài)

受影響版本
修復建議
目前該漏洞已經修復,受影響用戶可升級ofbiz到18.12.10或更高版本
https://ofbiz.apache.org/download.html
參考鏈接
https://ofbiz.apache.org/security.html
https://seclists.org/oss-sec/2023/q4/257
https://github.com/apache/ofbiz-framework/commit/c59336f604
https://nvd.nist.gov/vuln/detail/CVE-2023-49070