• 漏洞编号：CVE-2024-25065
• 漏洞类型：路径遍历漏洞
• 漏洞等级：严重
• 发布时间：2024-03-01

漏洞描述

近日，赛克艾威网络安全实验室监测到Apache OFBiz目录遍历漏洞情报，该漏洞存在于Apache OFBiz中，是一个路径遍历漏洞。由于在LoginWorker::hasBasePermission中未充分验证用户输入的 contextPath，导致存在路径遍历漏洞。

漏洞危害

未授权的攻击者可利用该漏洞绕过身份验证机制，访问敏感信息。

影响版本

Apache:OFBiz < 18.12.12

修复建议

根据影响版本中的信息，排查并升级到安全版本，或直接访问参考链接获取官方更新指南。
https://ofbiz.apache.org/security.html