漏洞概要

漏洞名称	Apache OFBiz目录遍历漏洞(CVE-2024-25065)
发布时间	2024年3月1日
组件名称	Apache OFBiz
影响范围	Apache OFBiz ≤ 18.12.12
漏洞类型	目录遍历
利用条件	1、用户认证：未知 2、前置条件：未知 3、触发方式：远程
综合评价	<综合评定利用难度>：未知。 <综合评定威胁等级>：高危，可能造成信息泄露或未授权访问。
官方解决方案	已发布

漏洞分析

Apache OFBiz是一套足够灵活的业务应用程序，可以在任何行业中使用。通用架构允许开发人员轻松扩展或增强它以创建自定义功能。

2024年2月29日，深瞳漏洞实验室监测到一则Apache OFBiz存在目录遍历漏洞的信息，漏洞编号：CVE-2024-25065，漏洞威胁等级：高危。

该漏洞是由于Apache OFBiz对用户的路径访问权限处理不当，攻击者可利用该漏洞绕过身份验证机制，未授权访问敏感信息。

目前受影响的Apache OFBiz版本：

Apache OFBiz ≤ 18.12.12

1.如何检测组件系统版本

打开[OFBIZ_HOME/README]文件，文件头部提及Apache OFBiz版本信息。

2.官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。