Apache OFBiz任意文件读取与远程代码执行漏洞(CVE-2023-50968/CVE-2023-51467)通告
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到Apache Ofbiz中的两个高危漏洞,修复了CVE-2023-50968和CVE-2023-51467。建议用户尽快升级到Apache Ofbiz >= 18.12.11。官方已发布新版本修复漏洞,也可对受影响系统进行访问限制。
🎯
关键要点
- 绿盟科技CERT监测到Apache Ofbiz中的两个高危漏洞:CVE-2023-50968和CVE-2023-51467。
- CVE-2023-50968允许未经授权的攻击者进行文件读取与SSRF攻击。
- CVE-2023-51467由于权限校验逻辑错误,攻击者可绕过登录验证进行服务器端请求伪造,可能导致远程代码执行。
- 受影响版本为Apache Ofbiz <= 18.12.10,建议用户升级到Apache Ofbiz >= 18.12.11。
- 官方已发布新版本修复漏洞,用户应尽快升级以防护。
- 若无法立即升级,用户可对受影响系统进行访问限制。
- 绿盟科技不对安全公告内容的准确性和后果承担责任,用户需自行负责。
➡️
