安全公告/【CVE-2020-13936】

基本信息

漏洞描述

Apache Velocity 是一个基于 Java 的模板引擎。 Apache Velocity 存在远程代码执行漏洞，攻击者能够通过修改Velocity模板从而执行任意Java代码或运行与Servlet容器帐户相同特权的任意系统命令。

修复方式

将 Velocity 升级到 2.3 及以上版本，下载地址：https://velocity.apache.org/download.cgi

漏洞判定

版本比对检测原理：检查当前系统中Velocity版本是否在受影响版本内|版本比对检测结果：- Velocity
  当前安装版本：1.5
  应用相关信息：
  - 应用路径：/home/weblogic/website/jdxzjob/WEB-INF/lib/velocity-1.5.jar
该主机存在此漏洞

参考

CVE-2020-13936，，，CNNVD-202103-758