购物车

您的购物车目前是空的

商品分类
  1. 嘶货 首页
  2. 企业动态

漏洞预警 | Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)

漏洞概述


漏洞类型

模板注入漏洞

漏洞等级

高危

漏洞编号

CVE-2025-26865

漏洞评分

利用复杂度

影响版本

18.12.17 < Apache OFBiz < 18.12.18

利用方式

远程

POC/EXP

未公开


近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞(CVE-2025-26865)。为避免您的业务受影响,建议您及时开展安全风险自查。


Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。


据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。


漏洞影响的产品和版本:

18.12.17 < Apache OFBiz < 18.12.18



资产测绘


据daydaymap数据显示互联网存在131305个资产,国内风险资产分布情况如下:


QQ20250314-105541.png


解决方案


1、临时缓解方案


① 限制网络访问,配置ip白名单,限制指定来源IP访问;

② 部署针对 Apache OFBiz 平台安全监控系统,确保及时检测响应异常行为。


2、升级修复方案,官方已发布漏洞修复补丁


建议更新时注意备份文件,更新地址:


https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-18.12.18.zip 


参考链接


https://issues.apache.org/jira/browse/OFBIZ-12594https://seclists.org/oss-sec/2025/q1/189


原文链接

联系我们

010-62029792

在线咨询: 点击这里给我发消息

电子邮箱:info@4hou.com

工作时间:09:00 ~ 18:00