近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于Apache OFBiz安全漏洞（CNNVD-202411-2279、CVE-2024-47208）情況的報(bào)送。攻擊者可以利用漏洞向目標(biāo)發(fā)送惡意請(qǐng)求，通過服務(wù)端請(qǐng)求偽造的方式遠(yuǎn)程執(zhí)行任意代碼。Apache OFBiz 18.12.17以下版本受此漏洞影響。目前，Apache官方已發(fā)布新版本修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。

一、漏洞介紹

Apache OFBiz是美國阿帕奇（Apache）基金會(huì)的一套企業(yè)資源計(jì)劃（ERP）系統(tǒng)。該系統(tǒng)提供了一整套基于Java的Web應(yīng)用程序組件和工具。漏洞源于程序?qū)RL校驗(yàn)不嚴(yán)格，攻擊者可通過構(gòu)造惡意URL繞過校驗(yàn)并注入Groovy 表達(dá)式代碼或觸發(fā)服務(wù)器端請(qǐng)求偽造（SSRF）攻擊，導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

二、危害影響

Apache OFBiz 18.12.17以下版本受此漏洞影響。

三、修復(fù)建議

目前，Apache官方已發(fā)布新版本修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。