Apache OFBiz <12.12.18 路径遍历漏洞

[y1ong]

• 漏洞编号: CVE-2024-25065
• 危害定级: 高危
• 漏洞标签: 发布预警 公开漏洞
• 披露日期: 2024-02-29
• 信息来源: https://www.oscs1024.com/cm
• 推送原因: 漏洞创建

漏洞描述
Apache OFBiz 是一个开源的企业资源计划系统。 Apache OFBiz 中由于未充分验证用户输入的 contextPath 而导致存在路径遍历漏洞，未授权的攻击者可以通过构造恶意请求绕过认证，进而访问系统中的资源。修复代码通过将contextPath转换为一个URI对象，并调用.normalize()方法来规范化路径，从而防止路径遍历。

参考链接

1. https://www.oscs1024.com/hd/MPS-rfy8-vc9m
2. https://issues.apache.org/jira/browse/OFBIZ-12894
3. https://github.com/apache/ofbiz-framework/commit/0d9ac6e4b22d1e0ba84913c43afe7243847ea833
4. https://seclists.org/oss-sec/2024/q1/177