一、 漏洞 CVE-2025-26865 基础信息
漏洞标题
Apache OFBiz: 电子商务插件中的服务端模板注入漏洞可能导致远程代码执行
来源:AIGC 神龙大模型
漏洞描述信息
Apache OFBiz 中存在模板引擎特殊元素的不当中和漏洞。 此漏洞影响 Apache OFBiz 版本从 18.12.17 到 18.12.18 之前的版本。 这是在 18.12.17 和 18.12.18 之间的回归问题。 如果你使用了类似于这种不推荐的方式! 从安全角度来看,只应使用官方发布的版本。 换句话说,如果你使用的是 18.12.17 版本,仍然是安全的。 版本 18.12.17 不受影响。 但是,在 18.12.17 和 18.12.18 之间存在受影响的版本。 建议用户升级到 18.12.18 版本,以修复该问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
Apache OFBiz: Server-Side Template Injection affecting the ecommerce plugin leading to possible RCE
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper Neutralization of Special Elements Used in a Template Engine vulnerability in Apache OFBiz. This issue affects Apache OFBiz: from 18.12.17 before 18.12.18.   It's a regression between 18.12.17 and 18.12.18. In case you use something like that, which is not recommended! For security, only official releases should be used. In other words, if you use 18.12.17 you are still safe. The version 18.12.17 is not a affected. But something between 18.12.17 and 18.12.18 is. In that case, users are recommended to upgrade to version 18.12.18, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-26865 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-26865 的情报信息