Apache OFBiz 代码注入漏洞

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache Ofbiz 18.12.10之前版本存在代码注入漏洞，该漏洞源于存在预授权远程执行代码(RCE)漏洞。

1、如果被攻击者利用，可直接getshell；
2、如果被攻击者利用，可被用于内网信息收集，扫描目标内网主机；
3、如果被攻击者利用，可攻击运行在内网或本地的应用程序；
4、如果被攻击者利用，可被用作攻击跳板；

移除 OFBiz 框架中已弃用的 Apache XML-RPC 相关代码。修复已通过以下提交实现：abe2e4399e8918cfb0e3d1da54479f7e6518836d（分支 remove-xml-rpc）、64d012d2c20d76200cedd3e1861b720d55a61398（主干 trunk）、c59336f604f503df5b2f7c424fd5e392d5923a27（release18.12）以及 322c6457052fca2e1ff643013f4b3c31afed7b2e（release22.01）。分支 'remove-xml-rpc' 在修复被回迁并审核后已从代码库中删除。
升级 Apache OFBiz 至包含修复的安全版本，以解决 CVE-2023-49070 和 CVE-2023-51467。具体修复版本信息可参考官方公告或安全补丁页面：https://www.vicarius.io/vsociety/vulnerabilities/cve-2023-49070