一、漏洞簡介

Apache Fineract是美(mei)國阿帕奇（Apache）基金會(hui)的一套開源數字金融服務(wu)(wu)平(ping)臺(tai)。該平(ping)臺(tai)能夠(gou)為用戶(hu)提供數據管理、貸款和儲蓄投(tou)資組合管理以及實時(shi)財務(wu)(wu)數據等(deng)功能。

Apache Software Foundation Apache Fineract 1.4版(ban)本至(zhi)1.8.3版(ban)本存在SQL注入漏洞(dong)，該(gai)漏洞(dong)源于(yu)系統使用的特(te)殊元素不當(dang)中和。攻擊者利(li)用該(gai)漏洞(dong)可(ke)以(yi)更改或添加某些組件中的數據(ju)。

此(ci)外，Apache Fineract還修復(fu)了某些過程調用(yong)中(zhong)的(de)SQL注入漏(lou)洞（CVE-2023-25197，中(zhong)危(wei)），授權(quan)用(yong)戶可(ke)利(li)用(yong)該(gai)漏(lou)洞執行某些惡意(yi)操作(zuo)；以(yi)及Apache Fineract中(zhong)的(de)服(fu)(fu)務器(qi)端請求偽造漏(lou)洞；（CVE-2023-25195，中(zhong)危(wei)），具有有限權(quan)限的(de)授權(quan)用(yong)戶可(ke)利(li)用(yong)該(gai)漏(lou)洞獲(huo)得對服(fu)(fu)務器(qi)的(de)訪問權(quan)限，并且可(ke)以(yi)將服(fu)(fu)務器(qi)用(yong)于任何出(chu)站(zhan)流(liu)量。

二、影響范圍

CVE-2023-25196、CVE-2023-25197

Apache Fineract版本：1.4 - 1.8.2

CVE-2023-25195

Apache Fineract版本(ben)：1.4 - 1.8.3

三、解決措施

目前(qian)官方已在最新(xin)版(ban)本中(zhong)修復了該漏洞，請(qing)受(shou)影(ying)響的用戶盡快升級版(ban)本進(jin)行防護，最新(xin)版(ban)本下載鏈接(jie)如下：

//lists.apache.org/thread/v0q9x86sx6f6l2nzr1z0nwm3y9qlng04

四、參考鏈接?

//lists.apache.org/thread/v0q9x86sx6f6l2nzr1z0nwm3y9qlng04

//cxsecurity.com/cveshow/CVE-2023-25197/