【安全通报】Apache OFBiz远程代码执行漏洞（CVE-2021-29200&CVE-2021-30128）

OFBiz是基于Java的Web框架，包括实体引擎，服务引擎和基于小部件的UI。

近日，Apache OFBiz官方发布安全更新。共包含2个漏洞，漏洞编号分别为CVE-2021-29200，CVE-2021-30128，漏洞详情如下：

CVE-2021-29200: 代码执行漏洞

由于Apache OFBiz存在Java RMI反序列化漏洞，未经身份验证的用户可以执行RCE攻击，导致服务器被接管。

CVE-2021-30128: 反序列化漏洞

由于Apache OFBiz存在不安全的反序列化，可能会导致代码执行，服务器被接管。

CVE编号

CVE-2021-29200
CVE-2021-30128

FOFA查询

app="Apache_OFBiz"

影响范围

• Apache OFBiz < 17.12.07

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Apache_OFBiz"）共有 878 个相关服务对外开放。中国大陆使用数量最多，共有 201 个；美国第二，共有 180 个；印度第三，共有 149 个；德国第四，共有 80 个；韩国第五，共有 40 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 15 个；上海第二，共有 8 个；北京第三，共有 6 个；湖南第四，共有 6 个；广东第五，共有 4 个。

Vulfocus靶场环境 

目前 Vulfocus 已经集成 OFBiz 环境，可通过以下命令进行拉取运行：

docker pull vulfocus/ofbiz-cve_2021_30128:latest
docker run -d -P vulfocus/ofbiz-cve_2021_30128

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。

修复方案

1. 可更新至Apache OFBiz最新版。

   下载地址：https://ofbiz.apache.org/download.html#vulnerabilities

2. 临时修复建议：若业务环境允许，使用白名单限制web端口的访问来降低风险。

参考

[1] https://ofbiz.apache.org/download.html#vulnerabilities

[2] https://weixin.shuziguanxing.com/selectDetailsTempateId/837#

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。