关于Apache OFBiz服务器端请求伪造漏洞（CVE-2024-45507）的安全预警

一、 基本情况

Apache OFBiz是一个著名的电子商务平台，提供了创建基于最新J2EE/ XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

二、 漏洞描述

Apache OFBiz中修复了一个服务器端请求伪造漏洞（CVE-2024-45507）。

Apache OFBiz 18.12.16 之前版本中，在从Java或Groovy代码中加载文件时没有正确地阻止使用URL作为文件路径，可能导致SSRF、代码注入漏洞，威胁者可利用该漏洞访问内部网络资源和敏感信息、导致远程代码执行或执行其他恶意操作。

此外，Apache OFBiz中还存在一个强制浏览（也称为直接请求）漏洞，由于OFBiz 的控制器和视图之间的授权逻辑处理不当，威胁者可以利用该漏洞未授权访问原本只对授权用户开放的资源或页面，获取敏感信息。

三、 影响范围

Apache OFBiz < 18.12.16

四、 修复建议

目前这些漏洞已经修复，受影响用户可升级到Apache OFBiz 18.12.16或更高版本。

下载链接：

https://ofbiz.apache.org/download.html

五、 参考链接

https://seclists.org/oss-sec/2024/q3/243

https://seclists.org/oss-sec/2024/q3/242

https://issues.apache.org/jira/browse/OFBIZ-13132

https://issues.apache.org/jira/browse/OFBIZ-13130