简介
Apache OFBiz 是一个开源企业资源规划(ERP) 系统。 OFBiz 提供了一套企业应用程序,可以集成和自动化企业的许多业务流程。 OFBiz 是Apache 软件基金会的顶级项目。
漏洞描述
在Apache OFBiz 17.12.03版本及以前存在一处xMLRPC导致的反序列漏洞,官方于后续的版本中对相关接口进行加固修复漏洞,但修复方法存在绕过问题 (CVE-2023-49070),攻击者仍然可以利用反序列化漏洞在目标服务器中执行任意命令。
影响版本
Apache OFBiz < 18.12.10
Fofa:
app="Apache_OFBiz"
漏洞复现
使用