[漏洞預警] Apache OFBiz RMI 反序列化任意代碼執行漏洞

近日，Apache官方發布Apache OFBiz任意文件上傳漏洞的風險通告。目前官方已修復該漏洞，建議受影響用戶及時更新至安全版本進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

2021年04月28日，Apache OFBiz官方發布了兩個高危漏洞風險通告，Apache OFBiz在之前的版本中具有不安全的反序列化，攻擊者成功利用漏洞可能觸發RCE，騰訊安全專家建議受影響的用戶及時將Apache OFBiz升級到最新版本。7 時間線 2021年4月27日，Apache OBFiz發布安全通告；2021年4月28日，騰訊安全發布風險通告。

360漏洞云監測到Apache OFBiz存在信息泄露漏洞（CVE-2021-25958）。

360漏洞云監測到 Apache OFBiz 存在任意文件上傳漏洞（CVE-2021-37608）。

Apache OFBiz是一個電子商務平臺，用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類應用系統。2021年3月22日 Apache OFBiz官方發布安全更新，修復了一處由RMI反序列化造成的遠程代碼執行漏洞（CVE-2021-26295）。攻擊者可構造惡意請求，觸發反序列化，從而造成任意代碼執行，控制服務器。

01漏洞描述 Apache OFBiz是一個電子商務平臺，用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類應用系統。2021年3月22日 Apache OFBiz官方發布安全更新，修復了一處由RMI反序列化造成的遠程代碼執行漏洞。02漏洞評級 Apache OFBiz 遠程代碼執行漏洞 嚴重 漏洞細節 漏洞PoC 漏洞EXP 在野利用 未公開 未公開 未公開 未知 03影響版本 Apache OFBiz < 04安全版本 Apache OFBiz 05安全建議 升級 Apache OFBiz 至安全版本。

此功能當前是選擇加入的。此模塊利用CVE-2020-9496，并利用未經驗證的XML-RPC接口中的Java反序列化方法。最新的OFBiz版本修復了此漏洞。PR ＃13998 從 adfoster-R7 大大提高Metasploit工具的速度RPC調用。PR ＃13961 從dwelch-R7 增加了一個新RHOST_HTTP_URL的選擇，它允許用戶設定值RHOSTS，RPORT以及SSL通過指定單個URL。來自wvu-r7的 PR ＃14002修復了payload中的回歸問題，在該回歸中，空白壞字符沒有被編碼掉。PR ＃13974從dwelch-R7修正了一個錯誤認證lib/metasploit/framework/login_scanner/winrm造成的故障與沒有接受的“基本”身份驗證服務器模塊。

最近兩個月我一直在做拒絕服務漏洞相關的時間，并收獲了Spring和Weblogic的兩個CVE但DoS漏洞終歸是雞肋洞，并沒有太大的意義，比如之前有人說我只會水垃圾洞而已，所以在以后可能打算做其他方向早上和pyn3rd師傅聊天

F-vuln（全稱：Find-Vulnerability）是為了自己工作方便專門編寫的一款自動化工具，主要適用于日常安全服務、滲透測試人員和RedTeam紅隊人員，它集合的功能包括：存活IP探測、開放端口探測、web服務探測、web漏洞掃描、smb爆破、ssh爆破、ftp爆破、mssql爆破等其他數據庫爆破工作以及大量web漏洞檢測模塊。

一、發展動向熱訊