Apache Software Foundation於上週五修補了Apache OFBiz中的一個嚴重漏洞，此漏洞可允許未經身份驗證的有心人士遠程竊取對開源企業資源計劃（ERP）系統的控制權。

該漏洞的跟踪代碼為 CVE-2021-26295，影響17.12.06前的所有版本，並採用「不安全的反序列化」作為攻擊媒介，允許未經授權的遠程攻擊者直接在伺服器上執行任意代碼。

OFBiz 是一個基於 JAVA 的網路框架，用於實現企業流程自動化的工具，提供廣泛的功能，包含會計，客戶關係管理，製造運營管理，訂單管理，及倉庫管理系統等。

通過利用此漏洞，有心人士可以篡改序列化的數據以插入任意代碼，這些代碼在反序列化時可能會導致遠程執行代碼。

OFBiz開發人員Jacques Le Roux指出：「未經身份驗證的攻擊者可以利用此漏洞成功接管Apache OFBiz。」

專家建議將 Apache OFBiz 升級到最新版本 （17.12.06）， 以降低相關風險。

參考資料：
https://thehackernews.com/2021/03/critical-rce-vulnerability-found-in.html