这里写自定义目录标题
Apache Velocity漏洞CVE-2020-13936修复记录
最近由于某些懂得都懂的原因,我们在疯狂的修复漏洞,近期发现了一个Apache Velocity的漏洞,声称如果Velocity版本在2.2及以下时,会有被通过模板攻击的危险。
升级jar包即可
有两个问题需要注意一下
一、velocity在1.7以后换名字了
可以看到maven仓库的apache velocity版本就到1.7,而且是10年更新的。
经过反编译分析之后发现新的velocity改名了,叫velocity engine(这里要注意导致高危漏洞的原因是velocity里面的template)
这里给出pom
<dependency>
<groupId>org.apache.velocity</groupId>
<artifactId>velocity-engine-core</artifactId>
<version>2.3</version>
</dependency>
二、velocity2.3的升级需要jdk1.8
jdk1.6升级会报错,需要1.8才可以升级
附录
官方地址
https://velocity.apache.org/download.cgi