一、概要

近日，华为云关注到Apache Velocity官方发布安全公告，披露Apache Velocity存在一处远程代码执行漏洞（CVE-2020-13936）。能够修改Velocity模板的攻击者可以执行任意Java代码或以与运行Servlet容器的帐户相同的权限去运行任意系统命令。

Velocity是Apache基金会旗下的一款开源软件项目，可实现Web应用程序在表示层和业务逻辑层之间的隔离（即MVC设计模式）。

华为云提醒使用Apache Velocity用户及时安排自检并做好安全加固。

参考链接：

https://velocity.apache.org/news.html#CVE-2020-13936

二、威胁级别

威胁级别：【重要】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Velocity =< 2.2

安全版本：

Apache Velocity >= 2.3

四、漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户升级至安全版本：

https://velocity.apache.org/download.cgi

注：修复漏洞前请将资料备份，并进行充分测试。