Apache OFBiz ERP软件中发现的关键RCE漏洞

星期五，Apache软件基金会在Apache OFBIZ中解决了严重的脆弱性，可能允许未经认证的对手远程捕获开源企业资源计划（ERP）系统的控制权。

跟踪为CVE-2021-2629，该漏洞影响软件在172.06之前的所有版本，并采用“不安全反序列化”作为攻击向量，以允许未经授权的远程攻击者直接在服务器上执行任意代码。

OFBiz是一个基于Java的web框架，用于自动化企业流程，并提供广泛的功能，包括会计、客户关系管理、生产运营管理、订单管理、供应链履行和仓库管理系统等。

具体来说，通过利用该漏洞，恶意方可以篡改序列化数据，插入任意代码，当反序列化时，可能导致远程代码执行。

Obiz开发人员Jacques Le Roux指出，“未经验证的攻击者可以利用此漏洞成功接管Apache Obiz。”。

不安全的反序列化一直是数据完整性和其他安全问题的根源，开放式Web应用程序安全项目（OWASP）指出，“不受信任的数据不能被信任为格式良好的数据，[而且]格式错误的数据或意外数据可能会被用于滥用应用程序逻辑、拒绝服务或在反序列化时执行任意代码。”

云穿透箭实验室的r00t4dm、齐安信集团Legendsec的SGLAB的MagicZero和Knownsec 404团队的Longofo都报告了该漏洞。

建议将Apache OFBiz升级至最新版本（17.12.06），以降低与该漏洞相关的风险。