摘要：近日，Apache OFBiz发布更新修复 freemarker 模板注入漏洞（CVE-2025-26865）。为避免您的业务受影响，建议您及时开展安全风险自查。

漏洞概述

近日，Apache OFBiz发布更新修复 freemarker 模板注入漏洞（CVE-2025-26865）。为避免您的业务受影响，建议您及时开展安全风险自查。

Apache OFBiz 是一个 开源的企业资源规划（ERP）系统 ，由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程，支持从供应链管理、财务管理到客户服务的全方位业务需求。

据描述，由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入，攻击者可以精心构造特殊请求，注入恶意的代码，导致任意代码执行，进而威胁整个服务器安全。

漏洞影响的产品和版本：

18.12.17

资产测绘

据daydaymap数据显示互联网存在131305个资产，国内风险资产分布情况如下：

解决方案

1、临时缓解方案

① 限制网络访问，配置ip白名单，限制指定来源IP访问；

② 部署针对 Apache OFBiz 平台安全监控系统，确保及时检测响应异常行为。

2、升级修复方案，官方已发布漏洞修复补丁

建议更新时注意备份文件，更新地址：

原文链接：漏洞预警 | Apache OFBiz 服务端模板注入漏洞（CVE-2025-26865）

来源：盛邦安全