Apache OFBiz 是一个流行的开源企业资源规划（ERP）软件，该系统提供了一整套基于Java 的 Web 应用程序组件和工具，为各个行业提供了一套全面的业务应用程序。

漏洞详情
Apache OFBiz 存在一个远程代码执行漏洞（CVE-2023-49070），该漏洞由于 XML-RPC 仍然存在于 Apache Ofbiz 18.12.10 之前的版本，针对于 CVE-2020-9496 的绕过，可以通过 /;/ 绕过接口的权限校验，从而实现未授权远程代码执行，获取服务器权限。

影响范围
Apache Ofbiz < 18.12.10

漏洞复现


修复建议
官方已发布安全更新，建议用户升级到18.12.10版本及其以上。

排查方法
查看本地所部署服务版本号，小于18.12.10则存在漏洞。


产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49070