一、概要
近日,昊之云技术关注到Apache Velocity官方发布安全公告,披露Apache Velocity存在一处远程代码执行漏洞(CVE-2020-13936)。能够修改Velocity模板的攻击者可以执行任意Java代码或以与运行Servlet容器的帐户相同的权限去运行任意系统命令。
Velocity是Apache基金会旗下的一款开源软件项目,可实现Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。
昊之云技术提醒使用Apache Velocity用户及时安排自检并做好安全加固。
参考链接:
https://velocity.apache.org/news.html#CVE-2020-13936
二、威胁级别
威胁级别:【重要】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Velocity =< 2.2
安全版本:
Apache Velocity >= 2.3
四、漏洞处置
目前官方已在新版本中修复了该漏洞,请受影响的用户升级至安全版本:
https://velocity.apache.org/download.cgi
注:修复漏洞前请将资料备份,并进行充分测试。
Copyright © 2013-2022 dsjidc.com All Rights Reserved. 昊之云 版权所有 河南大数据通信科技有限公司 豫ICP备14015351号
《中华人民共和国增值电信业务经营许可证》| 豫B1.B2-20160262 | 豫公网安备 41010502003911号