Проблема затрагивает все версии программного обеспечения до 17.12.06.
https://www.securitylab.ru/upload/ib...2ba32606af.jpg
В программном обеспечении Apache OFBiz была обнаружена уязвимость удаленного выполнения кода ( CVE-2021-26295 ), эксплуатация которой могла позволить неавторизованному злоумышленнику удаленно перехватить контроль над системой планирования ресурсов предприятия (Enterprise Resource Planning, ERP) с открытым исходным кодом.
Проблема затрагивает все версии программного обеспечения до 17.12.06, и неавторизованный злоумышленник может использовать «небезопасную десериализацию» в качестве вектора атаки, чтобы удаленно и напрямую выполнить произвольный код на сервере.
В частности, используя данную проблему, злоумышленник может вмешаться в сериализованные данные для внедрения произвольного кода, который при десериализации потенциально может привести к удаленному выполнению кода.
OFBiz — web-платформа на основе Java для автоматизации корпоративных процессов, содержащая широкий спектр функций, включая бухгалтерский учет, управление клиентской базой производственными операциями и заказами, а также выполнение цепочки поставок и систему управления складом, среди прочего.