Apache OFBiz远程代码执行漏洞预警（CVE-2023-51467）

2023-12-28

一、概要

近日，华为云关注到Apache OFBiz官方发布安全公告，披露在Apache OFBiz< 18.12.11版本中存在一处严重级别的远程代码执行漏洞（CVE-2023-51467）。远程攻击者可以通过构造恶意请求绕过身份认证，利用后台相关接口功能执行groovy代码，成功利用该漏洞可造成远程代码执行。目前漏洞POC已公开，风险较高。

另外，Apache OFBiz更新的新版本中还修复了一个任意文件属性读取和SSRF漏洞（CVE-2023-50968），攻击者在未经授权的情况下操作uri调用时可触发漏洞，成功利用漏洞可造成敏感信息泄露或任意代码执行。

Apache OFBiz 是一个开源企业资源规划(ERP) 系统。华为云提醒使用Apache OFBiz的用户及时安排自检并做好安全加固。

参考链接：

https://lists.apache.org/thread/9tmf9qyyhgh6m052rhz7lg9vxn390bdv

https://lists.apache.org/thread/x5now4bk3llwf3k58kl96qvtjyxwp43q

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Apache:OFBiz< 18.12.11

安全版本：

Apache:OFBiz 18.12.11

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://ofbiz.apache.org/download.html

注：修复漏洞前请将资料备份，并进行充分测试。