近日，Apache修復了一個高危遠程代碼執行漏洞，該漏洞可能允許攻擊者接管ERP系統。

OFBiz是Apache下屬的一個開源企業資源規劃(ERP)系統開發框架，它提供了一套企業應用程序，將企業的許多業務流程集成并自動化。它提供廣泛的功能，包括：會計、客戶關系管理、生產運營管理、訂單管理、供應鏈履行和倉庫管理系統等等。

此次的漏洞被命名為CVE-2021-26295，影響17.12.06之前的所有軟件版本，并采用 "不安全反序列化 "作為攻擊向量，允許未經授權的遠程攻擊者直接在服務器上執行任意代碼。

具體來說，通過這個漏洞，攻擊者可以篡改序列化數據，以插入任意代碼，當被反序列化后，可以進行遠程代碼執行。也就是說，未經認證的攻擊者可以利用這個漏洞成功接管Apache OFBiz。

不安全的反序列化一直是數據完整性和其他安全問題的重要原因。專家指出格式錯誤的數據或者意外的數據很可能被用來濫用應用邏輯、拒絕服務或執行任意代碼。

目前，用戶可以通過更新至17.12.06版本來進行修復，同時做好資產自查以及預防工作，以避免漏洞被黑客利用從而造成損失。

參考：

• securityaffairs
• thehackernews