Apache Velocity漏洞CVE-2020-13936修复记录

最新推荐文章于 2024-04-13 00:57:06 发布
最新推荐文章于 2024-04-13 00:57:06 发布
阅读量7.7k 收藏 5
点赞数 5
分类专栏: 后端学习 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24380005/article/details/115479151
版权

这里写自定义目录标题

Apache Velocity漏洞CVE-2020-13936修复记录

最近由于某些懂得都懂的原因,我们在疯狂的修复漏洞,近期发现了一个Apache Velocity的漏洞,声称如果Velocity版本在2.2及以下时,会有被通过模板攻击的危险。

升级jar包即可

有两个问题需要注意一下

一、velocity在1.7以后换名字了

在这里插入图片描述
可以看到maven仓库的apache velocity版本就到1.7,而且是10年更新的。
经过反编译分析之后发现新的velocity改名了,叫velocity engine(这里要注意导致高危漏洞的原因是velocity里面的template)
在这里插入图片描述
这里给出pom

<dependency>
    <groupId>org.apache.velocity</groupId>
    <artifactId>velocity-engine-core</artifactId>
    <version>2.3</version>
</dependency>

二、velocity2.3的升级需要jdk1.8

jdk1.6升级会报错,需要1.8才可以升级

附录

官方地址

https://velocity.apache.org/download.cgi
一只螺丝钉
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
m0_48520508的博客
02-19 1049
0x00简介 Solr 是一个开源的企业级搜索服务器,底层使用易于扩展和修改的Java 来实现。服务器通信使用标准的HTTP 和XML,所以如果使用Solr 了解Java 技术会有用却不是必须的要求。 Solr 主要特性有:强大的全文检索功能,高亮显示检索结果,动态集群,数据库接口和电子文档(Word ,PDF 等)的处理。而且Solr 具有高度的可扩展,支持分布搜索和索引的复制。 0x01漏洞概述 Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助Velocity
Apache Solr Velocity模板远程代码执行漏洞复现
weixin_44253823的博客
10-31 574
下载漏洞环境https://mirrors.tuna.tsinghua.edu.cn/apache/lucene/solr/8.2.0/solr-8.2.0.zip 解压以后,进入solr-8.1.0/bin目录 使用./solr -e dih -force开启漏洞环境 访问http://youip:8983/solr/#/进入主界面 点击左侧的Core Selector查看集合名称,可以...
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2024-17558)
最新发布
2401_83974173的博客
04-13 476
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Velocity模板引擎漏洞
weixin_33847182的博客
03-02 803
为什么80%的码农都做不了架构师?>>> ...
Apache Solr Velocity模块漏洞复现
奇怪的569的博客
11-01 269
10月31日发现的apache solr的最新漏洞,经过测试该poc真实有效,且危害性高。 poc地址:https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt 漏洞原理:攻击者可以直接访...
velocity-1.7 相关
01-04
Velocity是由Apache软件组织提供的一项开放源码项目,它是一个基于Java的模板引擎。 通过Velocity模板语言(Velocity Template Language,VTL)定义模板(Template),并且在模板中不包含任何Java程序代码。
velocity-engine-core-2.3-API文档-中文版.zip
03-30
对应Maven信息:groupId:org.apache.velocity,artifactId:velocity-engine-core,version:2.3 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码...
velocity-engine-core-2.3-API文档-中英对照版.zip
05-04
Maven坐标:org.apache.velocity:velocity-engine-core:2.3; 标签:core、apache、engine、velocity、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档...
Velocity模板引擎Velocity模板引擎
05-03
Velocity模板引擎Velocity模板引擎Velocity模板引擎Velocity模板引擎Velocity模板引擎Velocity模板引擎Velocity模板引擎Velocity模板引擎Velocity模板引擎Velocity模板引擎
velocity的所有jar包
03-15
velocity所有的JAR,一共四个jar文件.
velocity的jar包
01-08
velocity项目需要的jar 包 velocity-1.6.2.jar velocity-tools-2.0.jar
Velocity之HelloWorld配置
03-06
博文链接:https://dalezhu.iteye.com/blog/159771
velocity-tools-generic-3.1-API文档-中英对照版.zip
05-04
Maven坐标:org.apache.velocity.tools:velocity-tools-generic:3.1; 标签:apachevelocity、tools、generic、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,...
[漏洞复现]Apache Solr Velocity模板远程代码执行
a1b2c3是弱口令
10-31 831
Apache Solr Velocity模板远程代码执行 0X00 漏洞描述 近日,国外安全研究员s00py公开了一个Apache Solr的Velocity模板注入的漏洞.该漏洞可以攻击最新版本的Solr.目前该漏洞利用详情已经广泛流传于Github以及各大安全群,且公开的EXP可以执行任意命令并自带回显.官方暂未发布补丁. 0X01 漏洞CVE 暂无 0X02 影响范围 包括但不限于8.2...
漏洞预警】Apache Solr基于Velocity模板的远程命令执行漏洞
NOSEC2019的博客
10-31 994
2019年10月末,白帽汇安全研究院发现网络上出现针对Apache Solr服务器的远程代码执行漏洞。该漏洞是由于Velocity模板存在注入所致(Velocity是一个基于Java的模板引擎,可让使用者通过模板语言引用Java中定义的对象)。攻击者在知道Solr服务器上Core名称后,先把params.resource.loader.enabled设置为true(就可加载指定资源),再进行远程...
CVE-2020-13936
09-13
CVE-2020-13936Apache Velocity的一个漏洞。根据引用[1]中提供的信息,为了修复这个漏洞,你需要升级你的Apache Velocity库。从引用中可以看出,新的Velocity引擎改名为velocity-engine-core,并且最新的版本是2.3。所以你需要使用以下依赖项来升级你的pom.xml文件: ```xml <dependency> <groupId>org.apache.velocity</groupId> <artifactId>velocity-engine-core</artifactId> <version>2.3</version> </dependency> ``` 此外,根据引用和引用中的信息,升级到Velocity 2.3还需要JDK 1.8。所以请确保你的项目使用的是JDK 1.8或更高版本。这样就能修复CVE-2020-13936漏洞了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值