Apache Ofbiz 远程代码执行漏洞

• 漏洞编号：CVE-2023-51467
  
• 漏洞类型：远程代码执行(RCE)
• 漏洞等级：高危
• 发布时间：2023-12-27

漏洞描述：

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统，提供了一整套基于Java的Web应用程序组件和工具。

Apache Ofbiz发布了新版本18.12.11，其中修复了一个远程代码执行漏洞，未经授权的攻击者可以利用该漏洞在服务器上执行任意代码，漏洞编号：CVE-2023-51467，漏洞威胁等级：高危。

该漏洞是由于Apache Ofbiz存在一个权限校验逻辑错误，导致可以通过构造特殊请求绕过登录验证请求后端接口，结合后台相关功能可以在服务器上执行任意代码。

影响版本：

修复建议

官方已经发布了安全更新版本，如有受漏洞影响的用户建议及时更新到安全版本

安全版本：Apache OFBiz  >= 18.12.11

官方下载链接：https://ofbiz.apache.org/download.html

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51467
https://issues.apache.org/jira/browse/OFBIZ-12873