国家漏洞库CNNVD：关于Apache OFBiz安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求，通过服务端请求伪造的方式远程执行任意代码。Apache OFBiz 18.12.17以下版本受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一、漏洞介绍

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。漏洞源于程序对URL校验不严格，攻击者可通过构造恶意URL绕过校验并注入Groovy 表达式代码或触发服务器端请求伪造（SSRF）攻击，导致远程代码执行。

二、危害影响

Apache OFBiz 18.12.17以下版本受此漏洞影响。

三、修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方下载链接如下：

https://ofbiz.apache.org/download.html

本通报由CNNVD技术支撑单位——北京神州绿盟科技有限公司、深信服科技股份有限公司、西安交大捷普网络科技有限公司、数字新时代（山东）数据科技服务有限公司、安恒愿景（成都）信息科技有限公司、网宿科技股份有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。