【漏洞预警】Apache OFBiz SSRF致代码执行漏洞CVE-2024-45507

cexlife 飓风网络安全 2024-09-04 23:39

漏洞描述:

Apache OFBiz是开源企业资源规划（ERP）系统和电子商务框架,受影响版本中,由于 GroovyUtil、ScriptUtil 和 ScreenFactory 类未对加载的资源路径进行有效校验,攻击者可以通过传入URL加载远程的Groovy脚本和Screen资源,触发远程代码执行。影响范围:ofbiz生态:linux仓库类型unmanaged受影响的版本(-∞,18.12.16),最小修复版本18.12.16修复建议:官方已发布18.12.16,建议升级至18.12.16及其以上版本参考链接:https://issues.apache.org/jira/browse/OFBIZ-13132https://openwall.com/lists/oss-security/2024/09/03/7