【漏洞预警】Apache OFBiz 路径遍历漏洞CVE-2024-25065

【漏洞预警】Apache OFBiz 路径遍历漏洞CVE-2024-25065

cexlife 飓风网络安全 2024-02-29 20:21

漏洞描述:
Apache OFBiz是一个开源的企业级应用程序框架,旨在提供一个单一的、集成的解决方案,以管理公司的所有业务流程,从订单处理到财务报告,从供应链管理到客户关系管理。它由Apache软件基金会维护,是一个基于Java EE(现在称为Jakarta EE)的技术平台,Apache OFBiz 中存在路径遍历漏洞,漏洞原因在于未充分验证用户输入的 contextPath 参数,未授权的攻击者可以通过构造恶意请求绕过认证,进而访问系统中的文件。

影响版本:Apache OFBiz<18.12.12修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本将 ofbiz 升级至 18.12.12 及以上版本漏洞修复版本:Apache OFBiz >= 18.12.12下载链接:https://ofbiz.apache.org/download.html参考链接:https://issues.apache.org/jira/browse/OFBIZ-12894https://github.com/apache/ofbiz-framework/commit/0d9ac6e4b22d1e0ba84913c43afe7243847ea833