关键Apache OFBiz漏洞（CVE-2025-59118）允许通过无限制文件上传实现远程命令执行

Apache软件基金会（ASF）已为其开源企业资源规划（ERP）平台Apache OFBiz发布重要安全更新，修复了两个新披露的漏洞——一个远程命令执行漏洞和一个反射型跨站脚本（XSS）漏洞——这两个漏洞均影响24.09.03之前的所有版本。

两个漏洞中更严重的是CVE-2025-59118，被归类为“无限制上传危险类型文件”漏洞。该漏洞允许远程攻击者在没有适当验证或清理的情况下向服务器上传任意文件（例如恶意脚本），可能在使用运行服务上下文的情况下实现远程命令执行（RCE）。

ASF公告警告称：“Apache OFBiz中存在无限制上传危险类型文件漏洞。”

利用此漏洞的攻击者可能获得对底层操作系统的完全控制，执行任意命令，部署Web Shell，或在OFBiz与关键业务系统集成的企业网络中进一步横向移动。

第二个漏洞CVE-2025-61623是一个反射型XSS漏洞，允许攻击者通过操纵的URL或精心构造的输入参数将恶意JavaScript注入到不知情用户的浏览器中。根据公告，“Apache OFBiz中存在反射型跨站脚本漏洞。”

如果被利用，攻击者可能窃取会话cookie、冒充用户或在OFBiz的Web管理控制台中执行未经授权的操作。考虑到OFBiz在管理敏感企业工作流程（从会计、电子商务到库存）中的作用，潜在影响包括数据泄露、凭据盗窃和会话劫持。

尽管XSS通常需要某种形式的用户交互，例如点击恶意链接，但在多用户管理环境中，特别是结合社会工程或网络钓鱼活动时，威胁仍然很高。ASF强烈建议立即升级，并指出版本24.09.03完全缓解了此问题。