漏洞预警 | Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)

1漏洞概述

|-------------|--------------------------------------|
| 漏洞类型 | 模板注入漏洞 |
| 漏洞等级 | 高危 |
| 漏洞编号 | CVE-2025-26865 |
| 漏洞评分 | 无 |
| 利用复杂度 | 低 |
| 影响版本 | 18.12.17 < Apache OFBiz < 18.12.18 |
| 利用方式 | 远程 |
| POC/EXP | 未公开 |

近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞(CVE-2025-26865)。为避免您的业务受影响,建议您及时开展安全风险自查。

Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。

据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。

漏洞影响的产品和版本:

18.12.17 < Apache OFBiz < 18.12.18

2资产测绘

据daydaymap数据显示互联网存在131305个资产,国内风险资产分布情况如下:

解决方案

1、临时缓解方案

① 限制网络访问,配置ip白名单,限制指定来源IP访问;

② 部署针对 Apache OFBiz 平台安全监控系统,确保及时检测响应异常行为。

2、 升级修复方案,官方已发布漏洞修复补丁

建议更新时注意备份文件,更新地址:

复制代码
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-18.12.18.zip

参考链接

复制代码
https://issues.apache.org/jira/browse/OFBIZ-1259
https://seclists.org/oss-sec/2025/q1/189

原文链接

相关推荐
小小龙学IT17 天前
Apache Airflow 2.x 深度指南:用 Python 编排一切的现代化工作流引擎
开发语言·python·apache
Shepherd061917 天前
【IT 运维】Apache 使用 mod_remoteip 恢复 Cloudflare 后的真实访客 IP
运维·tcp/ip·apache
isyangli_blog17 天前
SDN 基本应用实践 —— 使用命令行实现简易防火墙功能实验报告
服务器·php·apache
小小龙学IT18 天前
Apache Pulsar 深度解析:从架构设计到生产落地
apache
Full Stack Developme19 天前
Apache Tika 教程
java·开发语言·python·apache
laplaya19 天前
C++大型项目组件通信与依赖管理实践
c++·log4j·apache
万岳科技19 天前
教育培训小程序如何构建线上线下一体化教学体系
小程序·apache
yyuuuzz20 天前
云服务器软件部署的几个常见问题
运维·服务器·开发语言·网络·云计算·php·apache
分布式存储与RustFS20 天前
Apache Iceberg数据湖轻量化搭建:基于Rust开源存储方案
开源·apache·iceberg·rustfs·ai存储·ai memory·s3 table
睡不醒男孩03082320 天前
中启乘数 CLup 6.x Apache Doris 存算一体集群管理技术文档
apache·doris·clup