Apache OFBiz 反序列化RCE

只因苦难多壮志，不教红尘惑坚心。

漏洞描述

OFBiz是基于Java的Web框架，包括实体引擎，服务引擎和基于小部件的UI。

近日，Apache OFBiz官方发布安全更新。Apache OFBiz 存在RMI反序列化前台命令执行，未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz，建议相关用户尽快测试漏洞修复的版本并及时升级。

漏洞影响

Apache OFBiz < 17.12.06

漏洞利用

漏洞证明

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。