CVE-2026-35086Apache OFBiz是一个企业自动化软件项目。该漏洞存在于其电子邮件服务组件中,由于对代码生成的控制不当,导致了代码注入漏洞。未经身份验证的攻击者可以通过网络利用此漏洞,向系统注入并执行任意恶意代码。此问题影响了24.09.06之前的所有Apache OFBiz版本。成功利用该漏洞可能导致系统机密性泄露和完整性受损,建议管理员尽快升级到修复版本。
该漏洞源于Apache OFBiz在处理电子邮件服务相关的请求时,未能正确过滤用户提供的输入数据,导致攻击者能够操纵用于生成代码的参数。由于CVSS向量显示攻击无需认证(PR:N)且无需用户交互(UI:N),这表明受影响的接口可能是直接暴露在网上的。攻击者可以构造包含恶意脚本的特制HTTP请求,发送至目标服务器的电子邮件处理端点。当服务器解析并尝试执行包含恶意载荷的逻辑时,会触发代码注入攻击。这种漏洞通常与动态代码生成或模板引擎的不安全使用有关,使得攻击者能够在服务端上下文中执行命令,从而绕过安全检查并获取敏感数据或篡改系统文件。