北京赛克艾威科技有限公司 2024-11-16
Apache OFBiz 是开源企业资源规划(ERP)系统和电子商务框架。 受影响版本中,OFBiz由于使用freemarker对url中的参数进行模板解析时限制不当,攻击者可能通过component://协议访问/webtools/control/ProgramExport等受限制接口,执行恶意groovy代码,获得系统权限。
1. 将组件 ofbiz 升级至 18.12.17 及以上版本
https://www.oscs1024.com/hd/MPS-n2xd-jcet
https://www.mail-archive.com/announce@apache.org/msg09630.html