当前位置: 首页 > article >正文

漏洞预警 | Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)

1漏洞概述

漏洞类型

模板注入漏洞

漏洞等级

高危

漏洞编号

CVE-2025-26865

漏洞评分

利用复杂度

影响版本

18.12.17 < Apache OFBiz < 18.12.18

利用方式

远程

POC/EXP

未公开

近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞(CVE-2025-26865)。为避免您的业务受影响,建议您及时开展安全风险自查。

Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。

据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。

漏洞影响的产品和版本:

18.12.17 < Apache OFBiz < 18.12.18

2资产测绘

据daydaymap数据显示互联网存在131305个资产,国内风险资产分布情况如下:

图片

图片

解决方案

1、临时缓解方案

① 限制网络访问,配置ip白名单,限制指定来源IP访问;

② 部署针对 Apache OFBiz 平台安全监控系统,确保及时检测响应异常行为。

2、升级修复方案,官方已发布漏洞修复补丁

建议更新时注意备份文件,更新地址:

https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-18.12.18.zip

参考链接

https://issues.apache.org/jira/browse/OFBIZ-1259
https://seclists.org/oss-sec/2025/q1/189

原文链接


http://www.kler.cn/a/590517.html

相关文章:

  • ChatGPT and Claude国内使用站点
  • 汽车PKE无钥匙进入系统一键启动系统定义与原理
  • 动作捕捉手套如何让虚拟现实人机交互 “触手可及”?
  • 【GPT入门】第24课 langfuse介绍
  • Django 集成 Redis 数据库指南
  • PySide(PyQt),QGraphicsItem的坐标映射转换函数
  • 【Unity3D】Addressables使用流程
  • 使用Electron Forge打包serialport模块的详细指南
  • Go语言的智能合约
  • PlainUSR|LIA: 追求更快的卷积网络实现高效的超分辨率重建
  • 在用Docker配置Redis哨兵节点的时候出现的错误及其解决办法
  • 【Python 算法零基础 1.线性枚举】
  • DeepSeek私有化部署与安装浏览器插件内网穿透远程访问实战
  • ISP--Gamma Correction
  • 搞定python之八----操作mysql
  • 【SpringMVC】常用注解:@SessionAttributes
  • Qt QML解决SVG图片显示模糊的问题
  • @RequestBody注解解释
  • 服务创造未来 东隆科技携多款产品亮相慕尼黑
  • 【网络协议】基于UDP的可靠协议:KCP