1. 漏洞概述

2024 年 3 月 4 日，赛尔网络安全运营中心监测到 Apache OFBiz 路径遍历漏洞，漏洞编号：CVE-2024-25065，漏洞威胁等级：高危。

2. 漏洞详情

Apache OFBiz 是一个开源的企业级应用程序框架，旨在提供一个单一的、集成的解决方案，以管理公司的所有业务流程，从订单处理到财务报告，从供应链管理到客户关系管理。它由 Apache 软件基金会维护，是一个基于 Java EE（现在称为 Jakarta EE）的技术平台。Apache OFBiz 中存在路径遍历漏洞，漏洞原因在于未充分验证用户输入的 contextPath 参数，未授权的攻击者可以通过构造恶意请求绕过认证，进而访问系统中的文件。

3. 影响版本

Apache OFBiz<18.12.12  

4. 处置建议

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

漏洞修复版本：

Apache OFBiz >= 18.12.12  

下载链接：

https://ofbiz.apache.org/download.html 

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com  

电话：15848147651