近日,Apache修复了一个高危远程代码执行漏洞,可能允许攻击者接管ERP系统。OFBiz是Apache下的开源企业资源规划(ERP)系统开发框架,它提供了一套企业应用程序来集成和自动化企业的许多业务流程。它提供广泛的功能,包括:会计、客户关系管理、生产运营管理、订单管理、供应链履行和仓库管理系统等。该漏洞名为CVE-2021-26295,影响17.12.06之前的所有软件版本,以“不安全反序列化”为攻击向量,允许未经授权的远程攻击者直接执行任意代码。具体来说,攻击者可以通过该漏洞对序列化后的数据进行篡改插入任意代码,反序列化时可以远程执行代码。也就是说,未经身份验证的攻击者可以利用此漏洞成功接管ApacheOFBiz。不安全的反序列化一直是数据完整性和其他安全问题的重要原因。专家指出,格式错误或意外的数据可用于滥用应用程序逻辑、拒绝服务或执行任意代码。目前用户可通过更新至17.12.06版本进行修复,同时做好资产自查和防范工作,避免漏洞被黑客利用造成损失。参考:securityaffairsthehackernews
