漏洞描述
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache Ofbiz 18.12.10之前版本存在代码注入漏洞,该漏洞源于存在预授权远程执行代码(RCE)漏洞。
漏洞危害
1、如果被攻击者利用,可直接getshell;
2、如果被攻击者利用,可被用于内网信息收集,扫描目标内网主机;
3、如果被攻击者利用,可攻击运行在内网或本地的应用程序;
4、如果被攻击者利用,可被用作攻击跳板;
修复方法
移除 OFBiz 框架中已弃用的 Apache XML-RPC 相关代码。修复已通过以下提交实现:abe2e4399e8918cfb0e3d1da54479f7e6518836d(分支 remove-xml-rpc)、64d012d2c20d76200cedd3e1861b720d55a61398(主干 trunk)、c59336f604f503df5b2f7c424fd5e392d5923a27(release18.12)以及 322c6457052fca2e1ff643013f4b3c31afed7b2e(release22.01)。分支 'remove-xml-rpc' 在修复被回迁并审核后已从代码库中删除。
升级 Apache OFBiz 至包含修复的安全版本,以解决 CVE-2023-49070 和 CVE-2023-51467。具体修复版本信息可参考官方公告或安全补丁页面:https://www.vicarius.io/vsociety/vulnerabilities/cve-2023-49070
参考链接
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-12-05
漏洞信息更新
2025-07-24
