Apache OFBiz SSRF漏洞CVE-2024-45507分析

Apache OFBiz 是一个功能丰富的开源电子商务平台，包含完整的商业解决方案，适用于多种行业。它提供了一套全面的服务，包括客户关系管理（CRM）、企业资源规划（ERP）、订单管理、产品目录、在线交易等。OFBiz提供了强大的 Java Web 框架、成熟的 CRM 和 ERP 功能，Apache OFBiz 的架构设计考虑了开发人员的便利性，它的灵活性和模块化设计使得它能够适应各种业务需求，无论是小型企业还是大型企业。Apache OFBiz 已经发展了超过10年，作为一个企业范围内的 ERP 解决方案，它已经显示出其稳定性和成熟性，通过使用 Apache OFBiz，企业可以实现高效的业务流程自动化，提高运营效率，降低成本。
近期，Apache Ofbiz团队发布了一则安全通知，宣布修补了一个存在于Apache Ofbiz软件中的严重安全漏洞，该漏洞被分配为CVE-2024-45507。由于Apache OFBiz在从Groovy加载文件时未对用户提交的数据进行过滤，未经身份验证的恶意攻击者通过服务器端请求伪造的方式向任意系统发起请求，加载远程恶意xml执行任意代码，从而获取目标服务器的控制权限，具体来说，攻击者可以构造一个恶意的 XML 文件，并通过 SSRF 攻击让 Apache OFBiz 的服务器加载并执行这个文件中的 Groovy 脚本。