Apache OFBiz Scrum命令注入漏洞CVE-2025-54466

Apache OFBiz （ Open For Business ）是一款知名的开源企业资源规划（ERP）解决方案，它提供了一整套开箱即用的开源企业级应用。

一、基本情况

Apache OFBiz 企业资源规划和电子商务平台是由 Apache软件基金会 （ASF）开发，采用 Java语言 构建，基于 J2EE 和 XML 技术标准。

Apache OFBiz 提供完整工具和框架，Scrum 是 OFBiz 的插件，旨在为敏捷开发团队提供项目管理功能，包括与 SVN 版本控制系统集成。

栋科技漏洞库关注到Apache OFBiz的Scrum插件中存在一个安全漏洞，该漏洞现已被追踪为CVE-2025-54466，漏洞的CVSS 3.1评分9.8。

二、漏洞分析

CVE-2025-54466漏洞是一个代码生成控制不当（代码注入）漏洞，可导致Apache OFBiz scrum插件中可能出现RCE（命令注入漏洞）。

Scrum插件的ScrumServices.java文件在实现与SVN版本库交互的功能时将外部传入的repository和revision参数直接拼接到命令字符串中，

并且会调用 Runtime.getRuntime().exec(String command) 来执行，使得拥有Scrum模块权限的攻击者可以利用该漏洞实现任意命令执行。

此问题影响Apache OFBiz：仅当使用scrum插件时，才会影响2002年9月24日之前的版本。

即使是未经身份验证的攻击者也可以利用此漏洞，建议用户升级到版本24.09.02。

修复版本通过双重机制防止命令注入：

一是使用 UtilValidate.isValidUrl() 和 UtilValidate.isInteger() 对传入的参数进行严格的格式校验，过滤输入；

二是将命令执行方式改为参数分离的 exec(String, String[])，避免参数被 shell当作命令解析执行。

三、影响范围

Apache OFBiz < 24.09.02

四、修复建议

Apache OFBiz >= 24.09.02

五、参考链接

管理员已设置登录后刷新可查看