近日,国家信息安全漏洞库(CNNVD)收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求,通过服务端请求伪造的方式远程执行任意代码。Apache OFBiz 18.12.17以下版本受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、漏洞介绍
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。漏洞源于程序对URL校验不严格,攻击者可通过构造恶意URL绕过校验并注入Groovy 表达式代码或触发服务器端请求伪造(SSRF)攻击,导致远程代码执行。
二、危害影响
Apache OFBiz 18.12.17以下版本受此漏洞影响。
三、修复建议
目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。