近日,，國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于Apache OFBiz安全漏洞（CNNVD-202411-2279,、CVE-2024-47208）情況的報(bào)送。攻擊者可以利用漏洞向目標(biāo)發(fā)送惡意請(qǐng)求,，通過(guò)服務(wù)端請(qǐng)求偽造的方式遠(yuǎn)程執(zhí)行任意代碼,。Apache OFBiz 18.12.17以下版本受此漏洞影響。目前,，Apache官方已發(fā)布新版本修復(fù)了該漏洞,，建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施,。

一,、漏洞介紹

Apache OFBiz是美國(guó)阿帕奇（Apache）基金會(huì)的一套企業(yè)資源計(jì)劃（ERP）系統(tǒng)。該系統(tǒng)提供了一整套基于Java的Web應(yīng)用程序組件和工具,。漏洞源于程序?qū)RL校驗(yàn)不嚴(yán)格,，攻擊者可通過(guò)構(gòu)造惡意URL繞過(guò)校驗(yàn)并注入Groovy 表達(dá)式代碼或觸發(fā)服務(wù)器端請(qǐng)求偽造（SSRF）攻擊，導(dǎo)致遠(yuǎn)程代碼執(zhí)行,。

二,、危害影響

Apache OFBiz 18.12.17以下版本受此漏洞影響。

三,、修復(fù)建議

目前,，Apache官方已發(fā)布新版本修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)產(chǎn)品版本,，盡快采取修補(bǔ)措施,。