1. 漏洞概述

Apache Ofbiz 远程代码执行漏洞，漏洞威胁等级：高危。

2. 漏洞详情

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统，提供了一整套基于Java的Web应用程序组件和工具。

该漏洞是由于Apache Ofbiz存在一个权限校验逻辑错误，导致可以通过构造特殊请求绕过登录验证请求后端接口，结合后台相关功能可以在服务器上执行任意代码。

3. 影响版本

Apache OFBiz<18.12.11

4. 处置建议

1. 官方已经发布了安全更新版本，如有受漏洞影响的用户建议及时更新到安全版本。

安全版本：Apache OFBiz  >= 18.12.11

官方下载链接：https://ofbiz.apache.org/download.html

2. 临时防护方案：

禁用 HTTP/HTTPS 管理接口或限制可以访问管理接口的 IP 地址。