关于Apache OFBiz RMI反序列化任意代码执行漏洞预警通报

2021年3月22日，ApacheOFBiz官方发布安全更新，修复了漏洞编号为CVE-2021-26295的远程代码执行漏洞。

一、漏洞描述

ApacheOFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2021年3月22日ApacheOFBiz官方发布安全更新，修复了一处由RMI反序列化造成的远程代码执行漏洞（CVE-2021-26295）。未经身份验证的攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行，控制服务器。

二、漏洞评级

ApacheOFBiz远程代码执行漏洞严重

三、影响版本

ApacheOFBiz<17.12.06

四、安全版本

ApacheOFBiz17.12.06

五、修复建议

升级ApacheOFBiz至安全版本。

六、参考链接

1.https://issues.apache.org/jira/projects/OFBIZ/issues/OFBIZ-12167?filter=doneissues

2.https://seclists.org/oss-sec/2021/q1/255