Apache OFBiz远程命令执行漏洞CVE-2025-59118

Apache OFBiz是Apache软件基金会的顶级开源项目，基于J2EE/XML规范的电子商务平台，涵盖客户关系管理、订单管理、ERP等功能。 ‌

一、基本情况

Apache OFBiz 是一个开源的企业资源规划（ERP）框架，提供实体引擎、服务引擎等相关组件，支持构建跨平台企业级分布式应用系统。

Apache OFBiz 是开源的 Java 企业应用框架，包含文件/图片上传和管理功能，供电商/ERP 等模块使用，提供一套完整业务应用解决方案。

栋科技漏洞库关注到 Apache OFBiz 受影响版本中存在任意文件上传漏洞，该漏洞现已经被追踪为CVE-2025-59118，CVSS 3.X评分7.3。

二、漏洞分析

CVE-2025-59118是位于 Apache OFBiz 受影响版本中的任意文件上传漏洞，该漏洞允许攻击者上传具有危险类型的文件，风险系数较高。

漏洞源于SecuredUpload.isValidFile(...) 对上传文件仅做扩展名或 Content-Type 层面的判断，未验证文件头的magic number与实际内容。

这意味着 Apache OFBiz 受影响版本中缺乏对嵌入脚本（如 JSP/PHP 片段）或者是经过 PNG chunk/压缩伪装的载荷的深度解析。

因此，该漏洞的存在导致伪装的可执行文件能通过 upload 接口上传并被存放到可被解析的位置，从而触发远程命令执行漏洞。

攻击者利用该漏洞，可以上传恶意文件并执行其中的代码，可能导致远程代码执行或其他恶意行为的发生，从而对系统安全造成严重威胁。

修复版本在 SecuredUpload 中引入 metadata-extractor（ImageMetadataReader）并重写 isValidFile：

以 magic number + metadata parsing + content scanning 为组合判定，增强对 PNG chunk/压缩异常与内嵌脚本的检测，

明确拒绝包含 JSP/PHP/script 脚本或被伪装的非 image 文件，阻断通过 upload 引发的 RCE。

三、影响范围

Apache OFBiz < 24.09.03

四、修复建议

Apache OFBiz >= 24.09.03

五、参考链接

管理员已设置登录后刷新可查看