Apache OFBiz XML-RPC event handler 代码问题漏洞

漏洞介绍

Apache OFBiz是美国阿帕奇（Apache）软件基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。XML-RPC event handler是其中的一个XML-RPC（远程过程调用的分布式计算协议）事件处理程序。

Apache OFBiz 16.11.01版本至16.11.04版本中的XML-RPC event handler的/webtools/control/xmlrpc端点存在安全漏洞。攻击者可利用该漏洞泄露文件系统中的文件内容，探查开放的网络端口并确定所存在的文件。

漏洞补丁

目前厂商已发布升级了Apache OFBiz XML-RPC event handler 代码问题漏洞的补丁，Apache OFBiz XML-RPC event handler 代码问题漏洞的补丁获取链接：

http://ws.apache.org/xmlrpc/changes-report.html

参考网址

来源:bugzilla.redhat.com

链接：https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3600

来源:MISC

链接：https://access.redhat.com/security/cve/cve-2011-3600

来源:MISC

链接：https://security-tracker.debian.org/tracker/CVE-2011-3600

来源:mail-archives.apache.org

链接：http://mail-archives.apache.org/mod_mbox/ofbiz-user/201810.mbox/%[email protected]%3E

来源:MISC

链接：https://lists.apache.org/thread.html/7793319ae80ec350f7b82a8763460944f120ebe447f14a12155d0550@

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201911-1364