一、背景介绍
3月26日,市委网信办技术支撑单位监测到Apache OFBiz发布安全更新,修复了一个远程代码执行漏洞(CVE-2021-26295)。
1.1漏洞描述
根据分析,Apache OFBiz框架存在一处RMI反序列化漏洞,攻击者可构造恶意请求,触发该漏洞,从而实现远程代码执行,可导致目标Apache OFBiz服务器被黑客控制。
1.2漏洞编号
CVE-2021-26295
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache OFBiz < 17.12.06
2.2 修复建议
建议部署了Apache OFBiz的用户尽快排查是否受影响,尽快升级Apache OFBiz至最新安全版本。