服务公告
Apache Velocity远程代码执行漏洞预警(CVE-2020-13936)
2021-03-11
一、概要
近日,华为云关注到Apache Velocity官方发布安全公告,披露Apache Velocity存在一处远程代码执行漏洞(CVE-2020-13936)。能够修改Velocity模板的攻击者可以执行任意Java代码或以与运行Servlet容器的帐户相同的权限去运行任意系统命令。
Velocity是Apache基金会旗下的一款开源软件项目,可实现Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。
华为云提醒使用Apache Velocity用户及时安排自检并做好安全加固。
参考链接:
https://velocity.apache.org/news.html#CVE-2020-13936
二、威胁级别
威胁级别:【重要】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Velocity =< 2.2
安全版本:
Apache Velocity >= 2.3
四、漏洞处置
目前官方已在新版本中修复了该漏洞,请受影响的用户升级至安全版本:
https://velocity.apache.org/download.cgi
注:修复漏洞前请将资料备份,并进行充分测试。