关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【安全预警】Apache Velocity远程代码执行漏洞预警(CVE-2020-13936)

发布时间:2021-03-16 17:16:13

一、概要

近日,昊之云技术关注到Apache Velocity官方发布安全公告,披露Apache Velocity存在一处远程代码执行漏洞(CVE-2020-13936)。能够修改Velocity模板的攻击者可以执行任意Java代码或以与运行Servlet容器的帐户相同的权限去运行任意系统命令。

Velocity是Apache基金会旗下的一款开源软件项目,可实现Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。

 昊之云技术提醒使用Apache Velocity用户及时安排自检并做好安全加固。

参考链接:

https://velocity.apache.org/news.html#CVE-2020-13936

二、威胁级别

威胁级别:【重要】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache Velocity =< 2.2

安全版本:

Apache Velocity >= 2.3

四、漏洞处置

目前官方已在新版本中修复了该漏洞,请受影响的用户升级至安全版本:

https://velocity.apache.org/download.cgi

注:修复漏洞前请将资料备份,并进行充分测试。


/template/Home/Zkeys/PC/Static