一、概要

近日，華為云關(guān)注到Apache OFBiz官方發(fā)布安全公告，披露在17.12.07之前的版本中存在兩處反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-29200、CVE-2021-30128），遠(yuǎn)程攻擊者可以通過構(gòu)造惡意請求觸發(fā)漏洞，實現(xiàn)在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

Apache OFBiz是一個開源的企業(yè)資源計劃（ERP）系統(tǒng)，華為云提醒使用Apache OFBiz的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.mail-archive.com/announce@apache.org/msg06506.html

https://www.mail-archive.com/announce@apache.org/msg06507.html

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache OFBiz < 17.12.07

安全版本：

Apache OFBiz 17.12.07

四、漏洞處置

目前官方已在新版本中修復(fù)了該漏洞，請受影響的用戶及時升級至安全版本：

https://ofbiz.apache.org/download.html#vulnerabilities

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。