Apache OFBiz服务器端模板注入漏洞CVE-2025-26865

Apache OFBiz 是一个开源企业资源规划（ERP）系统和电子商务框架，是一个非常知名开源项目，提供一整套完整的业务应用解决方案。

Apache OFBiz 产品是基于Java开发，采用灵活的架构和模块化设计，具有强大扩展性和灵活性，适用于各类中小型企业的业务流程管理。

一、基本情况

Apache OFBiz 产品包括订单管理、库存管理、会计、客户关系管理等模块，支持高度定制化，使其可以根据企业的需求进行定制和扩展。

Apache OFBiz 产品具有强大的功能和可扩展性，适用于中小型企业和大型企业，提高效率，降低成本，并实现业务流程的自动化和优化。

栋科技漏洞库关注到Apache OFBiz模板引擎存在注入漏洞，可能被攻击者利用执行恶意操作，追踪为CVE-2025-26865，CVSS评分3.5。

二、漏洞分析

Apache OFBiz 近期发布关于CVE-2025-26865安全公告，Apache OFBiz 存在服务器端模板注入漏洞，可能被攻击者利用执行恶意操作。

具体而言，在受影响版本中FreeMarker 模板引擎在处理用户输入时未正确处理特殊字符，导致攻击者可通过构造恶意输入注入模板代码。

攻击者可利用该漏洞通过精心构造的输入注入恶意模板代码，从而在服务器端执行任意代码，Apache OFBiz 18.12.18版本已修复该漏洞。

资料显示，Apache OFBiz 18.12.18修复版本在 SeoContextFilter.java 以及 ControlFilter.java 中，增加了对 FreeMarker 插值的检测逻辑，

并在SecurityUtil.containsFreemarkerInterpolation 方法中，对请求的 URI、参数和属性进行安全处理，需说明的是漏洞不影响正式版本。

三、影响范围

18.12.17 < Apache OFBiz < 18.12.18

四、修复建议

Apache OFBiz >= 18.12.18 

五、参考链接

此处内容已隐藏，评论后刷新即可查看！