Apache OFBizに、認証されていないユーザーによる乗っ取りが可能なセキュリティ脆弱性が存在することが明らかになった。安全ではないでシリアライゼーション処理が原因とされている。脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するプロダクトおよびバージョンは次の通り。
- Apache OFBiz version 17.12.06よりも前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache OFBiz version 17.12.06
CVSSv3スコアは掲載されていないが、メーリングリストに報告された内容によると、脆弱性の深刻度は重要(High)とされており注意が必要。
-
Subject: [CVE-2021-26295] RCE vulnerability in latest Apache OFBiz due to Java serialisation using RMI - Pony Mail
![Subject: [CVE-2021-26295] RCE vulnerability in latest Apache OFBiz due to Java serialisation using RMI - Pony Mail](/techplus/photo/article/20210323-1827653/images/001l.jpg)
Apache OFBizはオープンソースのエンタープライズリソースプラニングシステム。メーリングリストの報告された上記のメールでは、問題が修正されたApache OFBiz version 17.12.06へアップグレードすることが推奨されている。
![志布志市、事故対応の要諦は「被害者に寄り添う」こと [事故対応アワード受賞]](/techplus/article/20240617-secraward-shibushi/index_images/index.jpg/iapp)
