【漏洞通告】Apache OFBiz任意文件上传漏洞 (CVE-2021-37608)
发布时间 2021-08-120x00 漏洞概述
CVE ID | CVE-2021-37608 | 时 间 | 2021-08-11 |
类 型 | 文件上传 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
攻击复杂度 | 可用性 | 高 | |
用户交互 | 无 | 所需权限 | |
PoC/EXP | 未公开 | 在野利用 | 否 |
0x01 漏洞详情
Apache OFBiz是一款企业流程自动化软件,可以帮助用户实现企业内业务的自动化,它为用户提供了如ERP企业资源规划、CRM客户关系管理等多种管理功能。
2021年8月11日,Apache发布安全公告,公开了OFBiz中的一个任意文件上传漏洞(CVE-2021-37608)。由于Apache OFBiz存在校验错误,恶意攻击者可以利用此漏洞上传任意文件,并远程执行恶意代码。
影响范围
Apache OFBiz < 17.12.08
0x02 处置建议
目前此漏洞已经修复。建议受影响用户及时升级更新到17.12.08或更高版本。
下载链接:
http://ofbiz.apache.org/download.html#vulnerabilities
补丁链接:
https://issues.apache.org/jira/browse/OFBIZ-12297
0x03 参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/202108.mbox/%3C40716d3e-150d-10d6-ee27-aca4ae0480fb@apache.org%3E
https://issues.apache.org/jira/browse/OFBIZ-12297
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37608
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2021-08-12 | 首次发布 |
0x05 文档附录
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
NVD:nvd.nist.gov
CVSS:www.first.org
0x06 关于我们
关注以下公众号,获取更多资讯:
京公网安备11010802024551号