Apache Ofbiz XML-RPC 远程代码执行漏洞

• 漏洞编号：CVE-2023-49070
  
• 漏洞类型：远程代码执行(RCE)
• 漏洞等级：高危
• 发布时间：2023-12-06

漏洞描述：

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统，提供了一整套基于Java的Web应用程序组件和工具。

Apache Ofbiz发布了新版本18.12.10，其中修复了一个远程代码执行漏洞，未经授权的攻击者可以利用该漏洞在服务器上执行任意代码，漏洞编号：CVE-2023-49070，漏洞威胁等级：高危。

该漏洞是由于Apache Ofbiz在针对之前CVE-2020-9496漏洞的后续修复时，删除了相关接口的路由代码，但是该改动直到18.12.10版本发布才正式生效，在18.12.10版本之前的版本仍然容易受到CVE-2020-9496漏洞的影响。

影响版本：

修复建议

官方已经发布了安全更新版本，如有受漏洞影响的用户建议及时更新到安全版本

安全版本：Apache OFBiz  >= 18.12.10

官方下载链接：https://ofbiz.apache.org/download.html

参考链接:

https://www.cve.org/CVERecord?id=CVE-2023-49070
https://issues.apache.org/jira/browse/OFBIZ-12812
https://ofbiz.apache.org/release-notes-18.12.10.html