【严重】Apache OFBiz Scrum 组件命令注入漏洞
漏洞描述
Apache OFBiz 是一款知名的开源企业资源规划(ERP)解决方案,它提供了一整套开箱即用的企业级应用。Scrum 是 OFBiz 的一个插件,旨在为敏捷开发团队提供项目管理功能,其中包括与 SVN 版本控制系统的集成。
受影响版本中,Scrum 插件内的 ScrumServices.java 文件在实现与 SVN 版本库交互的功能时,将外部传入的 repository 和 revision 参数直接拼接到命令字符串中,并调用 Runtime.getRuntime().exec(String command) 来执行,拥有Scrum模块权限的攻击者可以利用该漏洞实现任意命令执行。
修复版本通过双重机制防止命令注入:一是使用 UtilValidate.isValidUrl() 和 UtilValidate.isInteger() 对传入的参数进行严格的格式校验,过滤输入;二是将命令执行方式改为参数分离的 exec(String, String\[\]),避免参数被 shell当作命令解析执行。
| MPS编号 | MPS-05dp-t2bw |
|---|---|
| CVE编号 | CVE-2025-54466 |
| 处置建议 | 建议修复 |
| 发现时间 | 2025-08-05 |
| 利用成本 | 中 |
| 利用可能性 | 中 |
| 是否有POC | 否 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| ofbiz | (-∞, 24.09.02) | 24.09.02 |
参考链接
https://www.oscs1024.com/hd/MPS-05dp-t2bw
https://issues.apache.org/jira/secure/attachment/13077706/OFBIZ-13276.patch
https://issues.apache.org/jira/browse/OFBIZ-13276
排查方式
手动排查
检查OFBiz版本:执行./gradlew -version或查看版本文件,确认是否<24.09.02;检查Scrum插件:查看plugins/目录是否存在scrum文件夹;审查ScrumServices.java:检查repository参数是否经UtilValidate.isValidUrl()校验、revision是否为整数,及命令执行是否使用exec(String, String\[\])。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/adv?code=73M6
提交漏洞情报:https://www.murphysec.com/bounty
处置方式
应急缓解方案
- 立即限制Scrum模块访问权限,仅授权必要管理员使用
- 如非业务必需,暂时停用Scrum插件的SVN集成功能
- 在网络层面对OFBiz服务器实施访问控制,限制来源IP
- 启用应用层审计日志,重点监控Scrum模块相关操作
- 通过WAF配置规则过滤包含特殊字符的请求参数
根本修复方案
- 升级Apache OFBiz至24.09.02或更高安全版本
- 若无法立即升级,应用官方安全补丁OFBIZ-13276
- 实施参数验证机制,对repository参数执行URL格式校验,对revision参数执行整数校验
- 采用参数分离模式重构命令执行逻辑,使用exec(String\[\] cmdarray)替代字符串拼接方式
- 升级完成后执行安全测试,验证修复效果