近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情況的報送。攻擊者可以利用漏洞向目標(biāo)發(fā)送惡意請求,通過服務(wù)端請求偽造的方式遠程執(zhí)行任意代碼。Apache OFBiz 18.12.17以下版本受此漏洞影響。目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
一、漏洞介紹
Apache OFBiz是美國阿帕奇(Apache)基金會的一套企業(yè)資源計劃(ERP)系統(tǒng)。該系統(tǒng)提供了一整套基于Java的Web應(yīng)用程序組件和工具。漏洞源于程序?qū)RL校驗不嚴格,攻擊者可通過構(gòu)造惡意URL繞過校驗并注入Groovy 表達式代碼或觸發(fā)服務(wù)器端請求偽造(SSRF)攻擊,導(dǎo)致遠程代碼執(zhí)行。
二、危害影響
Apache OFBiz 18.12.17以下版本受此漏洞影響。
三、修復(fù)建議
目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。