Apache OFBiz Scrum 组件命令注入漏洞

于 2025-08-05 17:51:26 发布
阅读量349 收藏 4
点赞数 4
CC 4.0 BY-SA版权
文章标签: apache scrum Apache OFBiz 命令注入 Scrum组件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/murphysec/article/details/149942744

【严重】Apache OFBiz Scrum 组件命令注入漏洞

漏洞描述

Apache OFBiz 是一款知名的开源企业资源规划(ERP)解决方案,它提供了一整套开箱即用的企业级应用。Scrum 是 OFBiz 的一个插件,旨在为敏捷开发团队提供项目管理功能,其中包括与 SVN 版本控制系统的集成。
受影响版本中,Scrum 插件内的 ScrumServices.java 文件在实现与 SVN 版本库交互的功能时,将外部传入的 repository 和 revision 参数直接拼接到命令字符串中,并调用 Runtime.getRuntime().exec(String command) 来执行,拥有Scrum模块权限的攻击者可以利用该漏洞实现任意命令执行。
修复版本通过双重机制防止命令注入:一是使用 UtilValidate.isValidUrl() 和 UtilValidate.isInteger() 对传入的参数进行严格的格式校验,过滤输入;二是将命令执行方式改为参数分离的 exec(String, String[]),避免参数被 shell当作命令解析执行。

MPS编号MPS-05dp-t2bw
CVE编号CVE-2025-54466
处置建议建议修复
发现时间2025-08-05
利用成本
利用可能性
是否有POC

影响范围

影响组件受影响的版本最小修复版本
ofbiz(-∞, 24.09.02)24.09.02

参考链接

https://www.oscs1024.com/hd/MPS-05dp-t2bw

https://issues.apache.org/jira/secure/attachment/13077706/OFBIZ-13276.patch

https://issues.apache.org/jira/browse/OFBIZ-13276

排查方式

手动排查

检查OFBiz版本:执行./gradlew -version或查看版本文件,确认是否<24.09.02;检查Scrum插件:查看plugins/目录是否存在scrum文件夹;审查ScrumServices.java:检查repository参数是否经UtilValidate.isValidUrl()校验、revision是否为整数,及命令执行是否使用exec(String, String[])。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=73M6

提交漏洞情报:https://www.murphysec.com/bounty

处置方式

应急缓解方案

  1. 立即限制Scrum模块访问权限,仅授权必要管理员使用
  2. 如非业务必需,暂时停用Scrum插件的SVN集成功能
  3. 在网络层面对OFBiz服务器实施访问控制,限制来源IP
  4. 启用应用层审计日志,重点监控Scrum模块相关操作
  5. 通过WAF配置规则过滤包含特殊字符的请求参数

根本修复方案

  1. 升级Apache OFBiz至24.09.02或更高安全版本
  2. 若无法立即升级,应用官方安全补丁OFBIZ-13276
  3. 实施参数验证机制,对repository参数执行URL格式校验,对revision参数执行整数校验
  4. 采用参数分离模式重构命令执行逻辑,使用exec(String[] cmdarray)替代字符串拼接方式
  5. 升级完成后执行安全测试,验证修复效果
墨菲安全
关注
博客
Google Chrome <139.0.7236.0 UAF漏洞
08-06 455
Google Chrome及Chromium存在高危UAF漏洞(CVE-2025-8578),影响版本<139.0.7236.0。漏洞因OpenscreenSessionHost::ReportAndLogError方法用std::string_view接收错误消息,异步任务绑定时若传入指向局部std::string的string_view,局部对象销毁后访问释放内存引发UAF。修复版本将参数类型改为std::string,通过所有权转移确保字符串生命周期覆盖异步任务执行。建议升级至139.0.7236.0
博客
NPM组件 aiohappyeyeballs 等窃取主机敏感信息
08-03 637
NPM组件aiohappyeyeballs等存在高危投毒漏洞,安装受影响版本(如aiohappyeyeballs [0.1.4, 0.2.5]、node-calculator-yqhi@2.2.0等)会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低,可能针对开发环境及网站管理员主机。建议立即排查依赖,移除恶意包,全面检查系统安全(如异常网络连接、敏感凭证),并加强依赖管理(仅用官方源、限制版本范围)。
博客
NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息
08-02 546
多个NPM组件(如@usaa-grp-payments-web-experience/bk-acknowledge-module等)被投毒,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响pixzen、amdocs-auth-package、arkadiko-dao等数十个组件特定版本,利用成本低。建议立即排查并卸载受影响包,删除依赖重装,扫描系统异常,加强依赖管理(如限制版本范围、使用官方源)。
博客
NPM组件 @coolblue-development/next-recently-viewed 等窃取主机敏感信息
08-01 519
【高危】NPM组件投毒漏洞(MPS-qcto-16v8)影响@coolblue-development/next-recently-viewed等多个包,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响版本包括blockly-test@0.1.0、vscode-kubernetes-tools@1.4.0等,无修复版本。利用成本低,建议立即卸载恶意包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,加强依赖管理规范。
博客
NPM组件 @azet/api 等窃取主机敏感信息
07-31 612
NPM组件@azet/api等存在高危投毒漏洞,安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及@twork-data-services/*、@moonpig/web-core-*、@azl-react-components/*等多个组件,受影响版本多为[0.99.0, 99.99.0]、172.0.0等。漏洞利用成本低,建议立即排查卸载恶意包,删除node_modules后重装依赖,全面检查系统安全并重置敏感凭证,加强依赖管理规范。
博客
Google Chrome <140.0.7297.0 MediaStreamTrackImpl UAF漏洞
07-31 943
CVE-2025-8292是Google Chrome/Chromium的高危Use-After-Free漏洞,影响版本<140.0.7297.0。漏洞因MediaStreamTrackImpl组件销毁前未清除对音频接收器(SpeechRecognitionMediaStreamAudioSink)的引用所致。修复通过引入Dispose()预清理方法,在对象销毁前主动移除关联引用,消除悬垂指针。建议用户升级至140.0.7297.0及以上版本,临时可禁用语音识别或限制麦克风权限缓解风险。
博客
NPM组件 @0xme5war/apicli 等窃取主机敏感信息
07-30 528
【高危】多款NPM组件存在投毒风险,包括@0xme5war/apicli [1.0.0,2.0.0]、react-native-gainsight-px [1.5.2,1.12.5]等20余款。安装后会窃取主机名、用户名、工作目录、IP等敏感信息,发送至攻击者电报地址(botToken=7699295118:AAF6pb7t718vjHWHwFQlZOastZQYHL8IVDE,chatId=6567865682)。利用成本低,建议立即排查卸载受影响包,删除node_modules及package-lock
博客
NPM组件 @ai0x1337/budoux-extension 等窃取主机敏感信息
07-29 922
【高危】多款NPM组件(如@ai0x1337/budoux-extension、@cwlib/core等)被投毒,安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。影响超20个包,含伪装成熟组件(如Sentry工具包)、内部CLI工具等,利用成本低。建议立即排查并卸载受影响包,删除node_modules重装依赖,扫描系统异常,重置敏感凭证,加强依赖管理(限版本范围、用官方源、定期审计)。
博客
Google Chrome V8< 13.7.120 沙箱绕过漏洞
07-28 742
Google Chrome V8<13.7.120沙箱绕过漏洞(MPS-id8s-k96g),影响V8<13.7.120、Chrome/Chromium<137.0.7137.0。因JsonParser::MakeString处理长度1的转义字符串时存在二次获取问题,致DecodeString基于过时检查结果写入2字节栈缓冲区,引发栈溢出。修复通过重构DecodeString,引入长度计数器并添加SBXCHECK_GE(length,2)校验防溢出,建议升级至V8 13.7.120+或Chrome 137.
博客
NPM组件 @ctra/utils 等窃取主机敏感信息
07-26 623
【高危】NPM组件投毒漏洞,涉及@ctra/utils等多个包(如openai-fm、airbnb-prod等),安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。受影响版本无修复版本,利用成本低。建议立即排查并卸载恶意包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全(如异常进程、境外IP通信),加强依赖管理(限版本范围、用官方源、定期审计)。
博客
Google Chrome V8< 14.0.221 类型混淆漏洞
07-23 982
CVE-2025-8011是Google Chrome V8引擎的高危类型混淆漏洞,因Maglev编译器内联逻辑缺少边界检查,内联函数过多致InliningId整数溢出,损坏SourcePosition元数据,反优化时引发类型混淆。影响V8<14.0.221、Chrome/Chromium<138.0.7204.168。修复需升级至V8 14.0.221或Chrome 138.0.7204.168及以上,通过增加内联数量上限检查防止溢出。
博客
NPM组件 @lain-test-org/test-package 等窃取主机敏感信息
07-22 887
【高危】多个NPM组件(如@lain-test-org/test-package等)存在投毒风险,安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围包括react-type-next、pmcrypto、fxa-setting等30余个组件,部分版本跨度大(如pmcrypto [0.1.0, 99.99.99])。漏洞利用成本低、可能性中,强烈建议立即排查移除恶意包,全面检查系统安全,加强依赖管理。
博客
NPM组件 function-flag 等内嵌恶意木马
07-20 392
【高危】NPM组件function-flag(2.3.4-4.0.0)、function-string(3.0.0)等版本存在恶意投毒。用户安装后会下载执行svchost.exe木马,导致攻击者窃取主机信息并实施远控。漏洞利用成本低、可能性中,影响使用相关组件的Node.js项目。建议立即排查移除受影响包,扫描系统异常进程及网络连接,重置敏感凭证,并加强依赖管理,仅使用官方源及成熟组件。
博客
NPM组件 function-flag 等内嵌恶意木马
07-19 494
NPM组件function-flag(2.3.4-4.0.0)、function-string(3.0.0)等版本被植入恶意木马,用户安装后会下载执行svchost.exe,导致攻击者窃取主机信息并实施远控。该漏洞高危,利用成本低、可能性中。处置建议:立即卸载受影响包,删除node_modules及package-lock.json后重装依赖;全面扫描系统排查异常进程与网络连接,重置敏感凭证;加强依赖管理,仅使用官方源,定期审计依赖。
博客
PyPI仓库 crto0 组件内嵌信息窃取木马
07-18 520
PyPI仓库crto组件1.0.7版本内嵌信息窃取木马,用户安装后会从攻击者可控Github地址下载执行恶意程序,窃取Windows系统信息(用户信息、截图、摄像头、硬盘等)、Discord账户、浏览器数据(密码、Cookie、信用卡信息等)及钱包、游戏启动器敏感数据并发送至攻击者服务器。利用成本低,建议立即移除受影响包,全面检查系统安全,加强依赖管理,仅从官方源安装组件。
博客
WPS文档中心及文档中台远程命令执行漏洞
07-18 1403
WPS文档中心(7.0.2306b至7.0.2405b前版本)及文档中台(6.0.2205至7.1.2405前版本)的2024年5月前docker私有化部署实例存在严重远程命令执行漏洞。攻击者可未授权访问接口获取AK/SK密钥,进而修改K8s配置添加路由映射,通过特定接口执行命令。利用可能性高且有POC,建议立即升级至文档中心7.0.2405b、中台7.1.2405及以上版本,同时阻断相关接口未授权访问并轮换密钥。
博客
PyPI仓库 iscc-flag 组件内嵌恶意木马
07-17 285
【高危】PyPI仓库iscc-flag(0.0.1版)及anku2-rce(0.0.1-0.0.2版)组件被植入恶意代码,安装后下载run.bat木马,窃取Windows系统敏感信息并远控。漏洞利用成本低、可能性中,建议立即排查移除受影响包,扫描系统异常进程与网络连接,重置敏感凭证,加强依赖管理,仅从官方源安装组件并定期审计依赖。
博客
Node.js Windows下路径遍历漏洞
07-17 844
Node.js Windows路径遍历高危漏洞(CVE-2025-27210)存在于Windows系统下,攻击者可利用Windows保留设备名(如AUX、CON、PRN等)绕过path.join的路径遍历保护,通过构造特殊路径(如..\\..\\AUX\\..\\..\\target.txt)访问敏感文件。受影响版本包括Node.js 20.0-20.19.3、22.0-22.17.0、24.0-24.4.0。修复版本通过添加保留设备名黑名单处理,建议升级至20.19.4、22.17.1或24.4.1及以上
博客
NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息
07-16 942
【高危】多个NPM组件(如@ivy-shared-components/iconslibrary、ado-codespaces-auth等)存在投毒风险,安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及多个特定版本包,利用成本低。建议立即移除受影响包,全面排查系统安全(如异常进程、敏感凭证),并加强依赖管理(限制版本范围、使用安全工具监控)。
博客
Google Chrome V8< 13.6.86 类型混淆漏洞
07-16 869
Google Chrome V8引擎(<13.6.86)及Chrome浏览器(<136.0.7075.0)存在高危类型混淆漏洞。因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用,重用已被GC修改的对象类型信息所致。攻击者可伪造ConsString对象触发越界写入,覆盖数组长度获取任意地址读写能力,最终实现RCE。修复版本移除LoopPeelingPhase及相关标志,建议升级V8至13.6.86+、Chrome至136.0.7075.0+。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值