漏洞背景

近日，嘉诚安全监测到Apache OFBiz发布安全公告，修复了Apache OFBiz Slor 插件中的一个未授权访问漏洞，漏洞编号为：CNNVD-202311-572(CVE-2023-46819)。

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为中危漏洞。由于Apache OFBiz在使用Solr插件时缺少了必要的身份验证，攻击者可以利用该漏洞直接绕过身份验证，访问Slor的API进行未授权操作，如:查询修改数据等。

危害影响

影响版本

Apache OFBiz<=18.12.08

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本，

Apache ofbiz plugins >= 18.12.09

参考链接：

https://github.com/apache/ofbiz-plugins/commit/998bf510a