高危！Apache OFBiz未授权远程代码执行漏洞风险通告

近日，亚信安全CERT监控到Apache OFBiz发布更新公告，修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议，它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用，但由于安全问题，它已被弃用。Apache OFBiz中此过时组件的存在引入了一个严重漏洞。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码，而无需事先进行任何身份验证。

对此，厂商已发布修复版本。鉴于该漏洞存在一定影响，亚信安全CERT建议使用受影响版本的用户及时关注官方更新，参照官方修复方案尽快采取相关措施，做好资产自查以及预防工作，以免遭受黑客攻击。

Apache OFBiz是一个流行的开源企业资源规划（ERP）软件，为各个行业提供了一套全面的业务应用程序。

漏洞编号、等级和类型

• CVE-2023-49070

• 高危

• 代码执行

漏洞状态

漏洞细节	PoC	EXP	在野利用
未公开	已发现	未发现	未发现

受影响版本

• Apache OFBiz 18.12.10之前的版本

修复建议

目前该漏洞已经修复，受影响用户可升级ofbiz到18.12.10或更高版本

https://ofbiz.apache.org/download.html

参考链接

• https://ofbiz.apache.org/security.html

• https://seclists.org/oss-sec/2023/q4/257

• https://github.com/apache/ofbiz-framework/commit/c59336f604

• https://nvd.nist.gov/vuln/detail/CVE-2023-49070