918博天堂

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】CVE-2020-13959 Apache Velocity XSS误差

宣布时间 2021-01-18

0x00 误差概述

CVE ID

CVE-2020-13959

时间

2021-01-18

类型

XSS

等级

高危

远程使用

是

影响规模

Apache Velocity Tools

所有版本

0x01 误差详情

Apache Velocity是基于Java的模板引擎，，，，，，，开发职员可使用其在Model-View-Controller（MVC）架构中设计视图。。。。。。Velocity Tools是一个由类组成的子项目，，，，，，，它进一步简化了Velocity在标准和网络应用中的集成。。。。。。

克日，，，，，，，Apache Velocity Tools中一个未果真的XSS误差（CVE-2020-13959）被披露，，，，，，，该误差会影响其所有版本。。。。。。只管该误差尚未果真，，，，，，，但其修复程序在2020年11月05日就已在GitHub上宣布。。。。。。

该误差为反射型XSS，，，，，，，当会见无效的URL时，，，，，，，"template not found"的过失页面将URL的资源路径部分按原样反应出来，，，，，，，而差池其举行转义。。。。。。

攻击者可以使用此误差诱骗受害者单击这样的URL，，，，，，，从而将受害者指导至被更改的网络垂纶页面泄露其登录会话信息，，，，，，，或者网络已登任命户的会话Cookie，，，，，，，并挟制其会话。。。。。。

现在，，，，，，，多个政府网站（如* .nasa.gov 和* .gov.au）正在使用受影响的Apache Velocity Tools。。。。。。

0x02 处置惩罚建议

现在，，，，，，，该误差的修复程序已经宣布。。。。。。

下载链接：

https://github.com/apache/velocity-tools/pull/9

0x03 参考链接

http://velocity.apache.org/download.cgi#tools

https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13959

0x04 时间线

2021-01-15 BleepingComputer披露误差

2021-01-18 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 918博天堂版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】