【漏洞通告】Apache OFBiz模板引擎注入漏洞(CVE-2025-26865)
發布時間 2025-03-11一、漏洞概述
漏洞名稱 | Apache OFBiz模板引擎注入漏洞 | ||
CVE ID | CVE-2025-26865 | ||
漏洞類型 | 代碼執行 | 發現時間 | 2025-03-11 |
漏洞評分 | 9.1 | 漏洞等級 | 嚴重 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 低 | 用戶交互 | 無 |
PoC/EXP | 未公開 | 在野利用 | 未發現 |
Apache OFBiz是一個開源的企業資源規劃(ERP)框架,提供了一套完整的業務應用解決方案。它包括訂單管理、庫存管理、會計、客戶關系管理等模塊,支持高度定制化。OFBiz基于Java開發,具有強大的擴展性和靈活性,適用于各類中小型企業的業務流程管理。
2025年3月11日,啟明星辰VSRC監測到Apache OFBiz發布了關于CVE-2025-26865的安全公告。公告指出,Apache OFBiz模板引擎存在注入漏洞,可能被攻擊者利用執行惡意操作,該漏洞CVSSv3評分9.1,漏洞等級為嚴重。
二、影響范圍
18.12.17 < Apache OFBiz < 18.12.18
三、安全措施
3.1 升級版本
官方已在Apache OFBiz 18.12.18版本中修復了模板引擎注入漏洞。用戶應盡快升級至18.12.18及之后版本,以確保系統安全。
3.2 臨時措施
暫無。