1

漏洞信息

  漏洞名称：Apache OFBiz远程代码执行漏洞

  漏洞编号：CVE-2023-49070

  漏洞等级：高
  披露时间：2023年12月4日

  更新时间：2023年12月7日

2

漏洞详情

     Apache OFBiz采用Java语言编写，基于模块化和可扩展的架构，允许用户根据其特定需求定制和扩展各种业务功能。Apache OFBiz是一个开源的企业资源规划（ERP）和企业应用框架，提供一套全面的业务应用解决方案。

     Apache OFBiz存在一处远程代码执行漏洞（CVE-2023-49070），该漏洞源于在Apache OFBiz 18.12.10版本之前仍然存在的XML-RPC问题。攻击者可以通过远程未经授权的方式绕过防护措施，访问/webtools/control/xmlrpc，并利用该漏洞实现对目标服务器的任意代码执行，最终实现对目标服务器的控制。

3

影响范围

  该漏洞影响范围： 

  Apache OFBiz<18.12.10

4

漏洞复现

访问Apache OFBiz登录主页面，右下角可以看到当前版本信息。

5

修复建议

1、目前建议您尽快访问官网（https://ofbiz.apache.org），获取修复漏洞的最新版本安装包或补丁。

2、临时修复建议

a.建议配置入侵检测系统（IDS）、入侵防御系统（IPS）和Web应用防火墙（WAF），以识别并阻止具有这类特征的请求。同时，为防止攻击者绕过安全设备实施攻击，强烈建议尽快修复系统中的漏洞。

b.除非必要，不要将Apache OFBiz暴露在公网上。可以通过网络ACL策略来限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。

6

参考链接

https://ofbiz.apache.org/download.html

https://avd.aliyun.com/detail?id=AVD-2023-49070

END

上海特磊信息技术有限公司

关注特磊信息

以客户服务为本

为客户创造价值