网站首页 > java教程 正文
近日,我中心技术支撑单位监测发现Apache OFBiz官方发布安全更新,修复了一处远程代码执行漏洞。成功利用该漏洞的攻击者可造成任意代码执行,控制服务器。该漏洞编号:CVE-2021-26295,安全级别为“高危”。
一、漏洞情况
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。Apache OFBiz官方修复了一处由RMI反序列化造成的远程代码执行漏洞,未经身份验证的攻击者通过构造恶意请求,触发反序列化,成功利用该漏洞的攻击者可造成任意代码执行,控制服务器。官方对漏洞修复的修复更新点在
ofbiz/base/util/SafeObjectInputStream.java中,通过增加黑名单的方式来缓解反序列化漏洞的攻击。
二、影响范围
Apache OFBiz<17.12.06。
三、处置建议
请广大用户尽快升级Apache OFBiz至17.12.06,更新加固、有效防护
附件:参考链接:
https://issues.apache.org/jira/projects/OFBIZ/issues/OFBIZ-12167?filter=doneissues
猜你喜欢
- 2024-12-01 fastjson 发布关于“反序列化远程代码执行漏洞”的安全公告
- 2024-12-01 PHP反序列化知识点总结
- 2024-12-01 漏洞预警|Apache Dubbo 存在反序列化漏洞
- 2024-12-01 PayPal严重漏洞可通过不安全的JAVA反序列化对象
- 2024-12-01 Apache Dubbo 被曝出“高危”远程代码执行漏洞
- 2024-12-01 序列化与反序列化——FastJSON、Jackson、Gson性能测试
- 2024-12-01 漏洞预警|Apache MINA SSHD反序列化漏洞
- 2024-12-01 【预警通报】关于WebLogicT3存在反序列化高危漏洞的预警通报
- 2024-12-01 攻防论道 | Apache Shiro反序列化漏洞检测
- 2024-12-01 Fastjson全版本远程代码执行漏洞曝光,降维发布预警
你 发表评论:
欢迎- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)