【嚴重】Apache OFBiz Scrum 組件命令注入漏洞
漏洞描述
Apache OFBiz 是一款知名的開源企業資源規劃(ERP)解決方案,它提供了一整套開箱即用的企業級應用。Scrum 是 OFBiz 的一個插件,旨在為敏捷開發團隊提供項目管理功能,其中包括與 SVN 版本控制系統的集成。
受影響版本中,Scrum 插件內的 ScrumServices.java 文件在實現與 SVN 版本庫交互的功能時,將外部傳入的 repository 和 revision 參數直接拼接到命令字符串中,并調用 Runtime.getRuntime().exec(String command) 來執行,擁有Scrum模塊權限的攻擊者可以利用該漏洞實現任意命令執行。
修復版本通過雙重機制防止命令注入:一是使用 UtilValidate.isValidUrl() 和 UtilValidate.isInteger() 對傳入的參數進行嚴格的格式校驗,過濾輸入;二是將命令執行方式改為參數分離的 exec(String, String[]),避免參數被 shell當作命令解析執行。
| MPS編號 | MPS-05dp-t2bw |
|---|---|
| CVE編號 | CVE-2025-54466 |
| 處置建議 | 建議修復 |
| 發現時間 | 2025-08-05 |
| 利用成本 | 中 |
| 利用可能性 | 中 |
| 是否有POC | 否 |
影響范圍
| 影響組件 | 受影響的版本 | 最小修復版本 |
|---|---|---|
| ofbiz | (-∞, 24.09.02) | 24.09.02 |
參考鏈接
https://www.oscs1024.com/hd/MPS-05dp-t2bw
https://issues.apache.org/jira/secure/attachment/13077706/OFBIZ-13276.patch
https://issues.apache.org/jira/browse/OFBIZ-13276
排查方式
手動排查
檢查OFBiz版本:執行./gradlew -version或查看版本文件,確認是否<24.09.02;檢查Scrum插件:查看plugins/目錄是否存在scrum文件夾;審查ScrumServices.java:檢查repository參數是否經UtilValidate.isValidUrl()校驗、revision是否為整數,及命令執行是否使用exec(String, String[])。
一鍵自動排查全公司此類風險
墨菲安全為您免費提供一鍵排查全公司開源組件漏洞&投毒風險服務,可一鍵接入掃描全公司的代碼倉庫、容器鏡像倉庫、主機、制品倉庫等。
試用地址:https://www.murphysec.com/adv?code=73M6
提交漏洞情報:https://www.murphysec.com/bounty
處置方式
應急緩解方案
- 立即限制Scrum模塊訪問權限,僅授權必要管理員使用
- 如非業務必需,暫時停用Scrum插件的SVN集成功能
- 在網絡層面對OFBiz服務器實施訪問控制,限制來源IP
- 啟用應用層審計日志,重點監控Scrum模塊相關操作
- 通過WAF配置規則過濾包含特殊字符的請求參數
根本修復方案
- 升級Apache OFBiz至24.09.02或更高安全版本
- 若無法立即升級,應用官方安全補丁OFBIZ-13276
- 實施參數驗證機制,對repository參數執行URL格式校驗,對revision參數執行整數校驗
- 采用參數分離模式重構命令執行邏輯,使用exec(String[] cmdarray)替代字符串拼接方式
- 升級完成后執行安全測試,驗證修復效果
系統:構建認知推理的骨架結構)
創建新的slave從機)
)
回文鏈表)
