Apache OFBiz Scrum 组件命令注入漏洞

【严重】Apache OFBiz Scrum 组件命令注入漏洞

漏洞描述

Apache OFBiz 是一款知名的开源企业资源规划(ERP)解决方案,它提供了一整套开箱即用的企业级应用。Scrum 是 OFBiz 的一个插件,旨在为敏捷开发团队提供项目管理功能,其中包括与 SVN 版本控制系统的集成。

受影响版本中,Scrum 插件内的 ScrumServices.java 文件在实现与 SVN 版本库交互的功能时,将外部传入的 repository 和 revision 参数直接拼接到命令字符串中,并调用 Runtime.getRuntime().exec(String command) 来执行,拥有Scrum模块权限的攻击者可以利用该漏洞实现任意命令执行。

修复版本通过双重机制防止命令注入:一是使用 UtilValidate.isValidUrl() 和 UtilValidate.isInteger() 对传入的参数进行严格的格式校验,过滤输入;二是将命令执行方式改为参数分离的 exec(String, String[]),避免参数被 shell当作命令解析执行。

MPS编号 MPS-05dp-t2bw
CVE编号 CVE-2025-54466
处置建议 建议修复
发现时间 2025-08-05
利用成本
利用可能性
是否有POC

影响范围

影响组件 受影响的版本 最小修复版本
ofbiz (-∞, 24.09.02) 24.09.02

参考链接

https://www.oscs1024.com/hd/MPS-05dp-t2bw

https://issues.apache.org/jira/secure/attachment/13077706/OFBIZ-13276.patch

https://issues.apache.org/jira/browse/OFBIZ-13276

排查方式

手动排查

检查OFBiz版本:执行./gradlew -version或查看版本文件,确认是否<24.09.02;检查Scrum插件:查看plugins/目录是否存在scrum文件夹;审查ScrumServices.java:检查repository参数是否经UtilValidate.isValidUrl()校验、revision是否为整数,及命令执行是否使用exec(String, String[])。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=73M6

提交漏洞情报:https://www.murphysec.com/bounty

处置方式

应急缓解方案

  1. 立即限制Scrum模块访问权限,仅授权必要管理员使用
  2. 如非业务必需,暂时停用Scrum插件的SVN集成功能
  3. 在网络层面对OFBiz服务器实施访问控制,限制来源IP
  4. 启用应用层审计日志,重点监控Scrum模块相关操作
  5. 通过WAF配置规则过滤包含特殊字符的请求参数

根本修复方案

  1. 升级Apache OFBiz至24.09.02或更高安全版本
  2. 若无法立即升级,应用官方安全补丁OFBIZ-13276
  3. 实施参数验证机制,对repository参数执行URL格式校验,对revision参数执行整数校验
  4. 采用参数分离模式重构命令执行逻辑,使用exec(String[] cmdarray)替代字符串拼接方式
  5. 升级完成后执行安全测试,验证修复效果
相关推荐
float_六七15 小时前
Apache Commons Lang 3
开发语言·python·apache
bryant_meng1 天前
【Apache MXNet】
人工智能·apache·mxnet
Okailon2 天前
小型Apache上如何屏蔽好奇窥探者的实用方法
apache
Hello.Reader2 天前
用一根“数据中枢神经”串起业务从事件流到 Apache Kafka
分布式·kafka·apache
Mr. Cao code2 天前
Nginx与Apache:Web服务器性能大比拼
运维·服务器·前端·nginx·apache
好奇的菜鸟4 天前
使用 Apache Flink CDC 3.0 实现 MySQL 到 Elasticsearch 的数据同步
mysql·flink·apache
byte轻骑兵5 天前
大数据时代时序数据库选型指南:深度解析与 Apache IoTDB 实践
大数据·apache·时序数据库
cloudcruiser5 天前
Apache HTTP Server:深入探索Web世界的磐石基石!!!
前端·其他·http·apache
奔跑草-6 天前
【服务器】Apache Superset功能、部署与体验
运维·服务器·apache·powerbi·superset
猫头虎7 天前
开源协议区别与限制详解:Fork、改名、再发布是否合法?(MIT、Apache、GPL、BSD、SSPL、BSL)
git·开源·github·apache·开源软件·开源协议·gitcode