近期,Apache OFBiz被发现存在多个高危漏洞,Apache OFBiz controller-view存在未授权访问漏洞(CVE-2024-45195),攻击者可以利用该漏洞绕过授权逻辑,直接请求并获取未经授权的敏感信息或执行某些操作。Apache OFBiz 存在SSRF致远程代码代码执行漏洞(CVE-2024-45507),该漏洞涉及服务器端请求伪造(SSRF) 和代码注入漏洞,允许攻击者通过Java或Groovy加载URL导致远程代码执行。
Apache OFBiz提供了创建基于最新 J2EE/ XML规范和技术标准,构建⼤中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。
目前受影响版本为Apache OFBiz < 18.12.16,鉴于该漏洞影响范围较大,建议及时确认产品版本,尽快针对漏洞进行安全更新,目前官方已发布安全版本修复了该漏洞,安全版本为:Apache OFBiz>= 18.12.16。
官方链接: https://ofbiz.apache.org/download.html。
请各单位高度重视,尽快开展自查,及时采取整改加固措施,消除安全隐患。
咨询电话:0851-83227020转4
网络与信息中心
2024年9月5日
