一、概要

近日，華為云關注到Apache Velocity官方發(fā)布安全公告，披露Apache Velocity存在一處遠程代碼執(zhí)行漏洞（CVE-2020-13936）。能夠修改Velocity模板的攻擊者可以執(zhí)行任意Java代碼或以與運行Servlet容器的帳戶相同的權(quán)限去運行任意系統(tǒng)命令。

Velocity是Apache基金會旗下的一款開源軟件項目，可實現(xiàn)Web應用程序在表示層和業(yè)務邏輯層之間的隔離（即MVC設計模式）。

華為云提醒使用Apache Velocity用戶及時安排自檢并做好安全加固。

參考鏈接：

https://velocity.apache.org/news.html#CVE-2020-13936

二、威脅級別

威脅級別：【重要】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Apache Velocity =< 2.2

安全版本：

Apache Velocity >= 2.3

四、漏洞處置

目前官方已在新版本中修復了該漏洞，請受影響的用戶升級至安全版本：

https://velocity.apache.org/download.cgi

注：修復漏洞前請將資料備份，并進行充分測試。