Apache OFBiz 目录遍历漏洞
1、基本情况
Apache OFBiz 是一个开源的企业级电子商务平台,它提供了一系列基于 Java 的 web 应用程序开发组件和工具。
近日,监测发现 Apache OFBiz 存在目录遍历漏洞(CVE-2024-25065)。由于在 LoginWorker::hasBasePermission 中未充分验证用户输入的 contextPath,导致存在路径遍历漏洞,未授权的攻击者可利用该漏洞绕过身份验证机制,访问敏感信息。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
l Apache:OFBiz < 18.12.12
3、处置建议
根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
https://ofbiz.apache.org/security.html
4、参考链接
1) https://ofbiz.apache.org/security.html