关于Apache OFBiz存在高危漏洞的预警通报
近期,Apache OFBiz被发现存在路径遍历漏洞高危漏洞,可导致任意代码执行。请各单位高度重视,组织本行业、本单位开展安全排查工作,及时采取整改加固措施,消除安全隐患。
一、漏洞基本情况
Apache OFBiz提供了创建基于最新 J2EE/ XML规范和技术标准,构建⼤中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz存在路径遍历漏洞(编号CVE-2024-36104),由于未充分验证用户输⼊的 contextPath 参数,未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行。
二、漏洞处置建议
目前受影响版本为Apache OFBiz < 18.12.14,鉴于该漏洞影响范围较大,建议及时确认产品版本,尽快针对漏洞进行安全更新,目前官方已发布安全版本修复了该漏洞,安全版本为:Apache OFBiz >= 18.12.14。
