【漏洞通告】Apache OFBiz模板引擎注入漏洞(CVE-2025-26865)

發布時間 2025-03-11

一、漏洞概述


漏洞名稱

Apache OFBiz模板引擎注入漏洞

CVE   ID

CVE-2025-26865

漏洞類型

代碼執行

發現時間

2025-03-11

漏洞評分

9.1

漏洞等級

嚴重

攻擊向量

網絡

所需權限

利用難度

用戶交互

PoC/EXP

未公開

在野利用

未發現


Apache OFBiz是一個開源的企業資源規劃(ERP)框架,提供了一套完整的業務應用解決方案。它包括訂單管理、庫存管理、會計、客戶關系管理等模塊,支持高度定制化。OFBiz基于Java開發,具有強大的擴展性和靈活性,適用于各類中小型企業的業務流程管理。


2025年3月11日,啟明星辰VSRC監測到Apache OFBiz發布了關于CVE-2025-26865的安全公告。公告指出,Apache OFBiz模板引擎存在注入漏洞,可能被攻擊者利用執行惡意操作,該漏洞CVSSv3評分9.1,漏洞等級為嚴重。


二、影響范圍


18.12.17 < Apache OFBiz < 18.12.18


三、安全措施


3.1 升級版本


官方已在Apache OFBiz 18.12.18版本中修復了模板引擎注入漏洞。用戶應盡快升級至18.12.18及之后版本,以確保系統安全。


下載鏈接:
https://ofbiz.apache.org/download.html/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


http://www.openwall.com/lists/oss-security/2025/03/07/1
https://issues.apache.org/jira/browse/OFBIZ-12594
https://lists.apache.org/thread/prb48ztk01bflyyjbl6p56wlcc1n5sz7
https://ofbiz.apache.org/download.html
https://ofbiz.apache.org/security.html
https://www.tenable.com/cve/CVE-2025-26865