Apache OFBiz SSRF漏洞CVE-2024-45507预警与分析

Apache OFBiz是一个非常著名的电子商务平台，其功能丰富，旨在提供完整的商业解决方案，能够适用于给类型的行业。

Apache OFBiz 提供可整套服务，如客户关系管理（CRM）、企业资源规划（ERP）、订单管理、产品目录、在线交易等。

一、基本情况

作为电商平台，Apache OFBiz 可构建大中型企业级、跨平台跨数据库、跨应用服务器多层、分布式电子商务类应用系统。

Apache OFBiz 提供创建基于最新J2EE/XML规范和技术标准，是一个非常著名的开源项目，已正式成为 Apache 顶级项目。

Apache OFBiz 历经数十年发展已成为业内知名 ERP 解决方案，可实现高效的业务流程自动化，提高运营效率，降低成本。

近期，Apache Ofbiz团队发布安全通知，修复一个Apache Ofbiz 软件中严重安全漏洞，该漏洞被标记为CVE-2024-45507。

二、漏洞分析

Apache OFBiz 近期修复了一个存在于服务器端请求伪造（SSRF）漏洞，该漏洞标记为CVE-2024-45507，CVSS评分9.8分。

该安全漏洞源于 Apache OFBiz 在从 Groovy 加载文件时对 URL 的验证不足，这一过程中并未对用户提交的数据进行过滤。

漏洞存在于 Apache OFBiz 18.12.16 之前版本，攻击者可能利用该漏洞访问内部网络资源和敏感信息、导致远程代码执行。

简而言之，攻击者可以构造一个恶意的XML文件并通过SSRF攻击让Apache OFBiz服务器加载并执行文件中的Groovy脚本。

成功利用该漏洞，可能导致攻击者完全控制受影响的系统，包括访问敏感数据、执行任意命令以及进行进一步的网络攻击。

该漏洞的CVSS 3.1目前评分为9.8分，其综合评级为“超危”并且POC已经被公开，漏洞影响范围较大，需尽快做好自查防护。

此外，Apache OFBiz中还存在一个强制浏览（也称直接请求）漏洞，由于OFBiz控制器和视图间的授权逻辑处理不当导致。

攻击者可以利用该安全漏洞实现未授权访问原本只对授权用户开放的资源或页面，获取敏感信息，其风险程度同样非常高。

三、影响范围

Apache OFBiz < 18.12.16

四、修复建议

目前官方已有可更新版本，受影响用户需升级至 Apache OFBiz 18.12.16 或更高版本。

五、参考链接

https://ofbiz.apache.org/download.html

https://nvd.nist.gov/vuln/detail/CVE-2024-45507