1
漏洞概述
|
漏洞类型 |
模板注入漏洞 |
|
漏洞等级 |
高危 |
|
漏洞编号 |
CVE-2025-26865 |
|
漏洞评分 |
无 |
|
利用复杂度 |
低 |
|
影响版本 |
18.12.17 < Apache OFBiz < 18.12.18 |
|
利用方式 |
远程 |
|
POC/EXP |
未公开 |
近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞(CVE-2025-26865)。为避免您的业务受影响,建议您及时开展安全风险自查。
Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。
据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。
漏洞影响的产品和版本:
18.12.17 < Apache OFBiz < 18.12.18
2
资产测绘
据daydaymap数据显示互联网存在131305个资产,国内风险资产分布情况如下:
3
解决方案
1、临时缓解方案
① 限制网络访问,配置ip白名单,限制指定来源IP访问;
② 部署针对 Apache OFBiz 平台安全监控系统,确保及时检测响应异常行为。
2、升级修复方案,官方已发布漏洞修复补丁
建议更新时注意备份文件,更新地址:
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-18.12.18.zip4
参考链接
https://issues.apache.org/jira/browse/OFBIZ-12594https://seclists.org/oss-sec/2025/q1/189
原文始发于微信公众号(Beacon Tower Lab):漏洞预警 | Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论