<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    Apache OFBiz任意文件上傳漏洞(CVE-2021-37608)預警

    VSole2021-08-16 14:34:23

    一、漏洞情況

    近日,Apache官方發布Apache OFBiz任意文件上傳漏洞的風險通告,該漏洞CVE編號:CVE-2021-37608。攻擊者可利用該漏洞上傳任意文件,實現遠程代碼執行。目前官方已修復該漏洞,建議受影響用戶及時更新至安全版本進行防護,并做好資產自查以及預防工作,以免遭受黑客攻擊。

    二、漏洞等級

    高危

    三、漏洞描述

    Apache OFBiz是美國阿帕奇(Apache)基金會的一套企業資源計劃(ERP)系統,提供了一整套基于Java的Web應用程序組件和工具。

    該漏洞源于Apache OFBiz 17.12.08之前版本存在不安全的反序列化,攻擊者可利用該漏洞上傳任意文件,實現遠程代碼執行。

    四、影響范圍

    Apache OFBiz < 17.12.08

    五、安全建議

    建議受影響用戶盡快將Apache OFBiz升級至17.12.08或更高版本。

    下載鏈接:

    http://ofbiz.apache.org/download.html#vulnerabilities

    六、參考鏈接

    • http://mail-archives.apache.org/mod_mbox/www-announce/202108.mbox/%3C40716d3e-150d-10d6-ee27-aca4ae0480fb@apache.org%3E
    • https://issues.apache.org/jira/browse/OFBIZ-12297
    apacheofbiz
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    Apache OFBiz任意文件上傳漏洞(CVE-2021-37608)預警
    2021-08-16 14:34:23
    近日,Apache官方發布Apache OFBiz任意文件上傳漏洞的風險通告。目前官方已修復該漏洞,建議受影響用戶及時更新至安全版本進行防護,并做好資產自查以及預防工作,以免遭受黑客攻擊。
    Apache OFBiz 遠程代碼執行漏洞風險通告
    2021-04-30 11:50:21
    2021年04月28日,Apache OFBiz官方發布了兩個高危漏洞風險通告,Apache OFBiz在之前的版本中具有不安全的反序列化,攻擊者成功利用漏洞可能觸發RCE,騰訊安全專家建議受影響的用戶及時將Apache OFBiz升級到最新版本。7 時間線 2021年4月27日,Apache OBFiz發布安全通告;2021年4月28日,騰訊安全發布風險通告。
    漏洞情報 | Apache OFBiz 信息泄露漏洞
    2021-08-31 21:17:32
    360漏洞云監測到Apache OFBiz存在信息泄露漏洞(CVE-2021-25958)。
    漏洞情報 | Apache OFBiz 任意文件上傳漏洞
    2021-08-12 18:56:47
    360漏洞云監測到 Apache OFBiz 存在任意文件上傳漏洞(CVE-2021-37608)。
    【漏洞預警】Apache OFBiz RMI反序列化任意代碼執行漏洞(CVE-2021-26295)
    2021-03-31 00:52:13
    Apache OFBiz是一個電子商務平臺,用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類應用系統。2021年3月22日 Apache OFBiz官方發布安全更新,修復了一處由RMI反序列化造成的遠程代碼執行漏洞(CVE-2021-26295)。攻擊者可構造惡意請求,觸發反序列化,從而造成任意代碼執行,控制服務器。
    [漏洞預警] Apache OFBiz RMI 反序列化任意代碼執行漏洞
    2021-03-22 11:06:40
    01漏洞描述 Apache OFBiz是一個電子商務平臺,用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類應用系統。2021年3月22日 Apache OFBiz官方發布安全更新,修復了一處由RMI反序列化造成的遠程代碼執行漏洞。02漏洞評級 Apache OFBiz 遠程代碼執行漏洞 嚴重 漏洞細節 漏洞PoC 漏洞EXP 在野利用 未公開 未公開 未公開 未知 03影響版本 Apache OFBiz < 04安全版本 Apache OFBiz 05安全建議 升級 Apache OFBiz 至安全版本。
    Metasploit 總結
    2020-08-24 11:30:35
    此功能當前是選擇加入的。此模塊利用CVE-2020-9496,并利用未經驗證的XML-RPC接口中的Java反序列化方法。最新的OFBiz版本修復了此漏洞。PR #13998 從 adfoster-R7 大大提高Metasploit工具的速度RPC調用。PR #13961 從dwelch-R7 增加了一個新RHOST_HTTP_URL的選擇,它允許用戶設定值RHOSTS,RPORT以及SSL通過指定單個URL。來自wvu-r7的 PR #14002修復了payload中的回歸問題,在該回歸中,空白壞字符沒有被編碼掉。PR #13974從dwelch-R7修正了一個錯誤認證lib/metasploit/framework/login_scanner/winrm造成的故障與沒有接受的“基本”身份驗證服務器模塊。
    反序列化漏洞的防御與拒絕服務
    2022-08-06 23:01:30
    最近兩個月我一直在做拒絕服務漏洞相關的時間,并收獲了Spring和Weblogic的兩個CVE但DoS漏洞終歸是雞肋洞,并沒有太大的意義,比如之前有人說我只會水垃圾洞而已,所以在以后可能打算做其他方向早上和pyn3rd師傅聊天
    一款漏洞檢測工具(460個poc)可使用fofa采集自動化
    2023-04-17 10:13:56
    F-vuln(全稱:Find-Vulnerability)是為了自己工作方便專門編寫的一款自動化工具,主要適用于日常安全服務、滲透測試人員和RedTeam紅隊人員,它集合的功能包括:存活IP探測、開放端口探測、web服務探測、web漏洞掃描、smb爆破、ssh爆破、ftp爆破、mssql爆破等其他數據庫爆破工作以及大量web漏洞檢測模塊。
    網絡空間安全動態第133期
    2021-03-30 00:00:00
    一、發展動向熱訊
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类