安全公告/【CVE-2020-13936】

基本信息

漏洞名称:Apache Velocity 远程代码执行漏洞(CVE-2020-13936)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:Velocity
CVSS评分:8.8
发现日期:2024-04-11
修复版本:

漏洞描述

Apache Velocity 是一个基于 Java 的模板引擎。 Apache Velocity 存在远程代码执行漏洞,攻击者能够通过修改Velocity模板从而执行任意Java代码或运行与Servlet容器帐户相同特权的任意系统命令。

修复方式

将 Velocity 升级到 2.3 及以上版本,下载地址:https://velocity.apache.org/download.cgi

漏洞判定

版本比对检测原理:检查当前系统中Velocity版本是否在受影响版本内|版本比对检测结果:- Velocity
  当前安装版本:1.7
  应用相关信息:
  - 应用路径:/hadoop/yxfy/apache-tomcat-8.5.65/webapps/dev-api/WEB-INF/lib/velocity-1.7.jar
- Velocity
  当前安装版本:2.2
  应用相关信息:
  - 应用路径:/hadoop/yxfy/apache-tomcat-8.5.65/webapps/dev-api/WEB-INF/lib/velocity-engine-core-2.2.jar
该主机存在此漏洞

补丁

参考

CVE-2020-13936,,,CNNVD-202103-758