Apache OFBiz披露新RCE漏洞，黑客可以接管ERP系统

　　近日，apache修复了一个高危远程代码执行漏洞，该漏洞可能允许流量攻击者接管erp系统。

 

　　ofbiz是apache下属的一个开源公司资源计划(erp)系统开发框架，它提供了一套公司运用程序，将公司的许多业务服务流程集成并全全自动化。它提供普遍的功能，包括：会计、客户关系管理、生产运营管理、订单管理、供应链履行和仓库管理系统等等。

 

　　此次的漏洞被命名为cve-2021-26295，影响17.12.06之前的所有软件版本，并选用 "不安全反序列化 "作为流量攻击向量，允许未经授权的远程流量攻击者直接在服务器上执行任意代码。

 

　　主要来说，根据这个漏洞，流量攻击者可以篡改序列化信息，以插进任意代码，当被反序列化后，可以开展远程代码执行。也就是说，未经认证的流量攻击者可以利用这个漏洞成功接管apache ofbiz。

 

　　不安全的反序列化一直是信息完整性和其他安全问题的重要的原因。专家指出格式错误的信息或者意外的信息很可能被用来滥用运用逻辑、拒尽服务或执行任意代码。

 

　　目前，客户可以根据更新至17.12.06版本来开展修复，同时做好资产自查以及预防工作，以避免漏洞黑客侵进客利用从而造成损失。

 

　　参考：

 

　　securityaffairs

 

　　thehackernews

 

　　(来源：freebuf)