中危 Apache OFBiz任意文件上传漏洞
CVE编号
CVE-2021-37608利用情况
暂无补丁情况
官方补丁披露时间
2021-08-11漏洞描述
Apache OFBiz是一款企业流程自动化软件,可以帮助用户实现企业内业务的自动化,它为用户提供了如ERP企业资源规划、CRM客户关系管理等多种管理功能。 2021年8月11日,Apache发布安全公告,公开了OFBiz中的一个任意文件上传漏洞(CVE-2021-37608)。由于Apache OFBiz存在校验错误,恶意攻击者可以利用此漏洞上传任意文件,并远程执行恶意代码。解决建议
影响范围:Apache OFBiz < 17.12.08目前此漏洞已经修复。建议受影响用户及时升级更新到17.12.08或更高版本。下载链接:http://ofbiz.apache.org/download.html#vulnerabilities补丁链接:https://issues.apache.org/jira/browse/OFBIZ-12297受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | ofbiz | * | Up to (excluding) 17.12.08 | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 N/A
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 N/A
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-434 | 危险类型文件的不加限制上传 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论