服务热线: 0371-65995777

Apache Velocity远程代码执行漏洞预警(CVE-2020-13936)

发布时间 : 2021/3/16

一、概要

近日,昊之云技术关注到Apache Velocity官方发布安全公告,披露Apache Velocity存在一处远程代码执行漏洞(CVE-2020-13936)。能够修改Velocity模板的攻击者可以执行任意Java代码或以与运行Servlet容器的帐户相同的权限去运行任意系统命令。

Velocity是Apache基金会旗下的一款开源软件项目,可实现Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。

 昊之云技术提醒使用Apache Velocity用户及时安排自检并做好安全加固。

参考链接:

https://velocity.apache.org/news.html#CVE-2020-13936

二、威胁级别

威胁级别:【重要】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache Velocity =< 2.2

安全版本:

Apache Velocity >= 2.3

四、漏洞处置

目前官方已在新版本中修复了该漏洞,请受影响的用户升级至安全版本:

https://velocity.apache.org/download.cgi

注:修复漏洞前请将资料备份,并进行充分测试。

上一条:微软3月份月度安全漏洞预警(含多个严重漏洞) 下一条:【安全预警】针对VMware vSphere的勒索病毒已经出现!