【漏洞通告】Apache OFBiz任意文件上传漏洞 (CVE-2021-37608)

发布时间 2021-08-12



0x00 漏洞概述

CVE     ID

CVE-2021-37608

时      间

2021-08-11

类      型

文件上传

等      级

高危

远程利用

影响范围


攻击复杂度


可用性

用户交互

所需权限


PoC/EXP

未公开

在野利用

 

0x01 漏洞详情

image.png

 

Apache OFBiz是一款企业流程自动化App,可以帮助用户实现企业内业务的自动化,它为用户提供了如ERP企业资源规划、CRM客户关系管理等多种管理功能。

2021年8月11日,Apache发布安全公告,公开了OFBiz中的一个任意文件上传漏洞(CVE-2021-37608)。由于Apache OFBiz存在校验错误,恶意攻击者可以利用此漏洞上传任意文件,并远程实行恶意代码。

 

影响范围

Apache OFBiz < 17.12.08

 

0x02 处置建议

目前此漏洞已经修复。建议受影响用户及时升级更新到17.12.08或更高版本。

下载链接:

http://ofbiz.apache.org/download.html#vulnerabilities

 

补丁链接:

https://issues.apache.org/jira/browse/OFBIZ-12297

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202108.mbox/%3C40716d3e-150d-10d6-ee27-aca4ae0480fb@apache.org%3E

https://issues.apache.org/jira/browse/OFBIZ-12297

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37608

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-08-12

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 关于大家

关注以下公众号,获取更多资讯:

image.png