一、漏洞分析

1.1 组件介绍

Apache OFBiz是一个非常著名的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

Apache OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎，工作流引擎，规则引擎等。

1.2 漏洞描述

2021年4月27日，深信服安全团队监测到Apache OFBiz官方发布安全通告，通告披露了Apache OFBiz组件存在远程代码执行漏洞，漏洞编号：CVE-2021-29200、CVE-2021-30128。

(1)    CVE-2021-29200漏洞描述

Apache OFBiz未对用户的输入做合法的过滤，攻击者可以在未授权的情况下执行任意代码，获取服务器权限。

(2)    CVE-2021-30128漏洞描述

Apache OFBiz未对用户的输入做合法的过滤，攻击者可以构造恶意数据，执行任意代码，获取服务器权限。

2.3 漏洞复现

搭建Apache OFBiz组件版本17.12.06环境，复现漏洞，效果如下：

1. CVE-2021-29200

2. CVE-2021-30128

二、影响范围

Apache OFBiz是一个著名的电子商务平台，已经正式成为Apache的顶级项目:Apache OFBiz。世界上有上千个企业在某方面或多方面依赖于OFBiz。

目前受影响的Apache OFBiz版本：

Apache OFBiz<17.12.07

三、解决方案

修复建议

1. 如何检测组件系统版本

访问Apache OFBiz登录主页面，在右下角可以看到当前版本信息：

2.官方修复建议（补丁、版本更新）

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip