一、漏洞簡介

 Apache Fineract是美國阿帕奇（Apache）基金會的一套開源數字金融服務平臺。該平臺能夠為用戶提供數據管理、貸款和儲蓄投資組合管理以及實時財務數據等功能。

 Apache Software Foundation Apache Fineract 1.4版本至1.8.3版本存在SQL注入漏洞，該漏洞源于系統使用的特殊元素不當中和。攻擊者利用該漏洞可以更改或添加某些組件中的數據。

 此外，Apache Fineract還修復了某些過程調用中的SQL注入漏洞（CVE-2023-25197，中危），授權用戶可利用該漏洞執行某些惡意操作；以及Apache Fineract中的服務器端請求偽造漏洞；（CVE-2023-25195，中危），具有有限權限的授權用戶可利用該漏洞獲得對服務器的訪問權限，并且可以將服務器用于任何出站流量。

二、影響范圍

CVE-2023-25196、CVE-2023-25197

Apache Fineract版本：1.4 - 1.8.2

CVE-2023-25195

Apache Fineract版本：1.4 - 1.8.3

三、解決措施

 目前官方已在最新版本中修復了該漏洞，請受影響的用戶盡快升級版本進行防護，最新版本下載鏈接如下：

 //lists.apache.org/thread/v0q9x86sx6f6l2nzr1z0nwm3y9qlng04

四、參考鏈接?

 //lists.apache.org/thread/v0q9x86sx6f6l2nzr1z0nwm3y9qlng04

//cxsecurity.com/cveshow/CVE-2023-25197/