组件介绍

Apache OFBiz是美国阿帕奇（Apache）软件基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

漏洞描述

近日，深信服安全团队监测到Apache官方发布了一则任意文件上传漏洞的安全通告，通告披露了OFBiz组件存在任意文件上传漏洞，漏洞编号：CVE-2021-37608，漏洞威胁等级：高危。

该漏洞是由于Apache OFBiz缺少文件扩展名检查，攻击者可利用该漏洞在获得权限的情况下，上传恶意文件，造成远程代码执行攻击，最终可获取服务器最高权限。

影响范围

Apache OFBiz在全球范围内主要分布在中国、爱尔兰和澳大利亚，国内主要分布在浙江、上海和北京。

目前受影响的Apache OFBiz版本：

Apache OFBiz < 17.12.08

如何检测组件系统版本

在项目目录下有一个VERSION文件，使用cat命令可查看版本信息

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

下载链接：

http://ofbiz.apache.org/download.html#vulnerabilities