CVE-2021-29200 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache OFBiz 存在**不安全的反序列化**漏洞。 💥 **后果**：未经认证的攻击者可远程执行代码 (**RCE**)，直接控制服务器。

🔍 **缺陷点**：Java 反序列化机制被滥用。 📉 **CWE**：数据中未提供具体 CWE ID，但核心是**反序列化不安全**。

🎯 **受影响**：Apache OFBiz 企业资源计划 (ERP) 系统。 📅 **版本**：**17.12.07 之前**的所有版本。

🕵️ **黑客能力**：执行任意命令。 🔓 **权限**：无需登录，直接获得**服务器控制权**（RCE）。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证** (Unauthenticated)，任何人均可发起攻击。

💣 **Exp 现状**：有现成 PoC。 📦 **工具**：GitHub 上有利用脚本，结合 `ysoserial` 可成功**反弹 Shell**。

🔎 **自查方法**： 1. 检查 OFBiz 版本是否 < 17.12.07。 2. 使用 Nuclei 模板扫描 CVE-2021-29200。 3. 监测异常 RMI 或反序列化流量。

🛡️ **官方修复**：已修复。 📝 **补丁**：升级至 **17.12.07** 或更高版本即可解决。

🚧 **临时规避**： 1. 若无补丁，需严格限制访问权限。 2. 阻断外部对 OFBiz 相关端口的直接访问。 3. 部署 WAF 拦截恶意序列化载荷。

⚡ **优先级**：**极高**。 🔥 **理由**：无需认证 + 已有公开 Exp + RCE 高危后果，建议**立即升级**。