CVE-2025-26865: Apache OFBiz Vulnerability Could Lead to Remote Code Execution
2025/03/11 SecurityOnline — 先日に Apache OFBiz eCommerce プラグインで発見された脆弱性を悪用する攻撃者は、脆弱なサーバ上で任意のコード実行の機会を手にする。この脆弱性 CVE-2025-26865 は、テンプレート・エンジンで使用される特殊要素の不適切な無効化に起因し、深刻度は Important に分類されている。
この問題は、Apache OFBiz のバージョン 18.12.17〜18.12.18 に影響を及ぼすものであり、この2つのリリースのバージョンに混入したバグだと思われる。この脆弱性を悪用する攻撃者は、テンプレートに悪意のあるコードを挿入し、それをサーバ上で実行する可能性を手にする。
この脆弱性の悪用に成功した攻撃者は、サーバの制御/機密データの窃取/サービスの妨害などを引き起こす可能性を手にする。
ユーザーに対して強く推奨されるのは、Apache OFBiz のバージョン 18.12.18 以降へとアップグレードし、この脆弱性に対処することだ。セキュリティ上の観点から、公式のリリースを使用する必要があることに注意してほしい。バージョン 18.12.17〜18.12.18 を使用するユーザーは脆弱であるため、速やかにアップグレードする必要がある。
Apache OFBiz の、最新バージョンへのアップグレードに加えて、以下のセキュリティ・ベストプラクティスの検討も必要である。
- すべてのソフトウェア・コンポーネントの定期的な更新:すべてのアプリケーション/ライブラリ/フレームワークに対して、最新のセキュリティ・パッチを適用し最新の状態に保つ。
- ユーザー入力の検証とサニタイズ:ユーザーから受信したデータは、その処理のる前に、必ず検証してサニタイズする。
- WAF の実装:悪意のあるリクエストがアプリケーションに到達する前に、WAF によりブロックする。
- 定期的なセキュリティ監査の実施:アプリケーションとインフラの潜在的な脆弱性を特定し、対処する。
OSS の ERP である Apache OFBiz のバージョン 18.12.17〜18.12.18 に、RCE 脆弱性が発見されました。該当のバージョンをご利用のチームは、アップデートをご検討下さい。なお、先月には、 Apache OFBiz の別の脆弱性の悪用が観測されています (2024/02/04:Apache OFBiz/.NET Framework/Paessler PRTG の脆弱性が CISA KEV に登録) 。よろしければ、Apache OFBiz で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.