安全公告/【CVE-2020-13936】
基本信息
漏洞名称:Apache Velocity 远程代码执行漏洞(CVE-2020-13936)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:Velocity
CVSS评分:8.8
发现日期:2024-03-29
漏洞描述
Apache Velocity 是一个基于 Java 的模板引擎。 Apache Velocity 存在远程代码执行漏洞,攻击者能够通过修改Velocity模板从而执行任意Java代码或运行与Servlet容器帐户相同特权的任意系统命令。
漏洞判定
版本比对检测原理:检查当前系统中Velocity版本是否在受影响版本内|版本比对检测结果:- Velocity 当前安装版本:1.7 应用相关信息: - 应用路径:/app/fsvcweb/FSvcWeb/webapps/ROOT/WEB-INF/lib/velocity-1.7.jar 该主机存在此漏洞
修复方式
将 Velocity 升级到 2.3 及以上版本,下载地址:https://velocity.apache.org/download.cgi