GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】CVE-2020-13959 Apache Velocity XSS缝隙

颁布功夫 2021-01-18

0x00 缝隙概述

CVE ID

CVE-2020-13959

时间

2021-01-18

类型

XSS

等级

高危

远程利用

是

影响领域

Apache Velocity Tools

所有版本

0x01 缝隙详情

Apache Velocity是基于Java的模板引擎，开发人员可使用其在Model-View-Controller（MVC）架构中设计视图。Velocity Tools是一个由类组成的子项目，它进一步简化了Velocity在尺度和网络利用中的集成。

近日，Apache Velocity Tools中一个未公开的XSS缝隙（CVE-2020-13959）被披露，该缝隙会影响其所有版本。只管该缝隙尚未公开，但其建复法式在2020年11月05日就已在GitHub上颁布。

该缝隙为反射型XSS，当接见无效的URL时，"template not found"的谬误页面将URL的资源蹊径部门按原样反映出来，而不合其进行转义。

攻击者能够利用此缝隙诱骗受害者单击这样的URL，从而将受害者疏导至被更改的网络垂钓页面泄露其登录会话信息，或者网络已登录用户的会话Cookie，并劫吃熹会话。

目前，多个当局网站（如* .nasa.gov 和* .gov.au）在使用受影响的Apache Velocity Tools。

0x02 措置建议

目前，该缝隙的建复法式已经颁布。

下载链接：

https://github.com/apache/velocity-tools/pull/9

0x03 参考链接

http://velocity.apache.org/download.cgi#tools

https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13959

0x04 功夫线

2021-01-15 BleepingComputer披露缝隙

2021-01-18 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】