2026 年 6 月 15 日,国家信息安全漏洞共享平台(CNVD)收录了 Apache OFBiz 的一个授权问题漏洞(CNVD-2026-24144)。攻击者可利用该漏洞绕过身份验证,在无需任何凭证的情况下直接登录系统后台,甚至模拟合法用户,对企业的 ERP、CRM、电子商务等核心业务构成严重威胁。受影响版本为 Apache OFBiz 24.09.06 之前的所有版本。官方已发布修复版本,在无法立即升级的情况下,部署 百度云防护 WAF 可在网络层拦截恶意请求,提供“虚拟补丁”级的即时保护。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CNVD 编号 | CNVD-2026-24144 |
| CVE 编号 | 对应漏洞可能关联 CVE-2026-45434(密码修改逻辑绕过 RCE)或 CVE-2026-31387(Cookie 操作导致 JWT 伪造) |
| 危害级别 | 高(CVSS 8.8) |
| 漏洞类型 | 授权问题 / 身份认证不当(CWE-287) |
| 攻击向量 | 网络远程利用,无需认证 |
| 影响产品 | Apache OFBiz 24.09.06 之前的所有版本 |
| 官方补丁 | 已发布(升级至 24.09.06 或更高版本) |
| 参考链接 | https://lists.apache.org/thread/3wgybgdvmbfvly24zm4sb4y53fc1pqcf |
Apache OFBiz 是一套开源的企业资源规划系统,广泛应用于制造业、电商、供应链管理等场景。该漏洞让攻击者无需任何有效凭证即可绕过登录限制,对依赖 OFBiz 的企业造成严重威胁。
二、 漏洞原理:身份验证逻辑缺陷
2.1 攻击链路
该漏洞源于 OFBiz 身份验证框架中的实现缺陷。攻击者可通过以下方式绕过认证:
- 密码修改逻辑缺陷(CVE-2026-45434):OFBiz 的密码修改功能在验证用户身份时存在逻辑错误,攻击者可以构造恶意请求,在无需知道当前密码的情况下完成密码重置,从而接管账户。
- Cookie / JWT 伪造(CVE-2026-31387):攻击者可以操纵 Cookie 或伪造 JWT 令牌,冒充任意已登录用户。
2.2 技术细节
该漏洞存在于 org.apache.ofbiz.security.auth 及相关服务类中。攻击者通过以下手法实施攻击:
- 构造包含特殊参数的 HTTP 请求发送至 OFBiz 的身份验证接口。
- 由于认证逻辑缺陷,系统错误地认为请求来自合法用户。
- 攻击者获得会话控制权,可执行任意操作。
攻击者甚至可以在无需任何凭证的情况下,直接以管理员权限登录系统。
三、 漏洞危害
| 危害类型 | 具体后果 |
|---|---|
| 账户完全接管 | 攻击者可登录任意账户,包括管理员 |
| 数据泄露 | 窃取客户信息、订单数据、财务记录等敏感内容 |
| 业务中断 | 篡改订单状态、删除数据、关闭服务 |
| 横向渗透 | 以 OFBiz 服务器为跳板攻击内网其他系统 |
实际案例:攻击者可利用密码修改逻辑漏洞(CVE-2026-45434),在无需知道当前密码的情况下重置管理员密码,然后以管理员身份登录系统,完全控制 ERP 平台。
四、 受影响版本与修复
- 受影响版本:Apache OFBiz 24.09.06 之前的所有版本。
- 安全版本:Apache OFBiz 24.09.06 及以上。
- 官方补丁:已发布。用户可访问 Apache OFBiz 官网下载最新版本。
升级建议
# 下载最新版本
wget https://dlcdn.apache.org/ofbiz/apache-ofbiz-24.09.06.zip
unzip apache-ofbiz-24.09.06.zip
cd apache-ofbiz-24.09.06
./gradlew loadAll
./gradlew ofbiz升级后务必重启 OFBiz 服务。
五、 百度云防护 WAF:不升级也能防御
对于无法立即升级的生产环境,百度云防护 WAF 可在网络层实时拦截针对该漏洞的攻击流量,提供“虚拟补丁”级即时保护。
5.1 内置规则检测
百度云防护安全团队已在规则库中新增针对 Apache OFBiz 授权绕过漏洞的检测规则:
- 检测特征:识别请求路径中的异常认证参数、恶意 Cookie 操作、JWT 伪造特征。
- 协议层拦截:阻断对密码修改接口的未授权访问尝试。
用户只需将域名接入百度云防护,基础防护引擎(中级或高级策略集) 即可自动开启拦截,无需额外配置。
5.2 JA4 指纹 + IP 情报库联动
攻击者常使用自动化工具扫描漏洞,百度云防护的 JA4 指纹识别 可锁定扫描器特征,即使攻击者不断换 IP 也无处遁形。同时,IP 动态情报库 可一键封杀代理 IP、云服务 IP 等恶意来源。
5.3 自定义规则建议
规则名称: 拦截 OFBiz 认证绕过
匹配条件: URI 包含 /webtools/control 或 /password-change
处置动作: 拦截六、 企业行动指南
| 优先级 | 措施 | 说明 |
|---|---|---|
| 紧急 | 升级 OFBiz 至 24.09.06 | 唯一彻底修复方案 |
| 高 | 部署百度云防护 WAF | 虚拟补丁即时防护,无需停服 |
| 中 | 限制管理后台访问 | 使用防火墙或 VPN 限制 OFBiz 后台暴露 |
| 低 | 审计日志 | 排查是否有异常认证请求 |
七、 总结
Apache OFBiz 授权绕过漏洞(CNVD-2026-24144)是一个严重级别的身份认证缺陷,攻击者可无需任何凭证远程登录系统,完全控制企业核心业务平台。官方已发布 24.09.06 修复版本,请立即升级。对于无法停服的生产环境,请务必部署百度云防护 WAF,利用其内置规则在网络层阻断攻击流量,为企业争取修复窗口。
如果你不确定自己的 OFBiz 版本是否受影响,或希望快速接入百度云防护,欢迎联系 主机吧。我们提供免费安全评估和配置指导。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让认证绕过漏洞无处可逃,让每一个企业系统都固若金汤。
