周五,Apache软件基金会(Apache Software Foundation)解决了Apache OFBiz中的一个严重漏洞,该漏洞可能允许未经身份验证的对手远程夺取对开源企业资源计划(ERP)系统的控制权。
跟踪为CVE-2021-2629,该漏洞影响软件在17.12.06之前的所有版本,并采用“不安全反序列化”作为攻击向量,以允许未经授权的远程攻击者直接在服务器上执行任意代码。
OFBiz是用于自动化企业流程的基于Java的Web框架,并提供广泛的功能,包括会计,客户关系管理,制造运营管理,订单管理,供应链履行和仓库管理系统等。
具体来说,通过利用此漏洞,恶意方可以篡改序列化的数据以插入任意代码,这些代码在反序列化时可能会导致远程执行代码。
OFBiz开发人员Jacques Le Roux指出: “未经身份验证的攻击者可以利用此漏洞成功接管Apache OFBiz 。”
不安全的反序列化一直是数据完整性和其他安全问题的根源,开放Web应用程序安全项目(OWASP)指出“不可信的数据不能被信任以形成良好的格式,并且[格式不正确的数据或意外的数据可能是不正确的。反序列化时用于滥用应用程序逻辑,拒绝服务或执行任意代码。”
云漏洞穿透箭头实验室的r00t4dm,奇安信集团的Legendsec SGLAB的MagicZero和Knownsec 404团队的Longofo在报告漏洞方面功不可没。
建议将Apache OFBiz升级到最新版本(17.12.06),以减轻与该漏洞相关的风险。
*编译:Domino
*来自:thehackernews