Iteris Apache Velocity 安全漏洞(CVE-2020-13936)

admin
admin
admin
0
文章
0
评论
2023-12-01 15:51:03 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
中危 Iteris Apache Velocity 安全漏洞(CVE-2020-13936)

CVE编号

CVE-2020-13936

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-03-10
漏洞描述
Iteris Apache Velocity是美国 (Iteris)公司的一个应用软件。用于创建和维护与Apache Velocity Engine相关的开源软件功能。 Apache Velocity Engine versions up to 2.2 存在安全漏洞,攻击者可利用该漏洞执行任意Java代码或运行任意系统命令。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://lists.apache.org/thread.html/r01043f584cbd47959fabe18fff64de940f81a65024bb8dddbda31d9a%40%3Cuser.velocity.apache.org%3E
参考链接
http://www.openwall.com/lists/oss-security/2021/03/10/1
https://lists.apache.org/thread.html/r01043f584cbd47959fabe18fff64de940f81a65...
https://lists.apache.org/thread.html/r0bc98e9cd080b4a13b905c571b9bed87e1a0878...
https://lists.apache.org/thread.html/r17cb932fab14801b14e5b97a7f05192f4f366ef...
https://lists.apache.org/thread.html/r293284c6806c73f51098001ea86a14271c39f72...
https://lists.apache.org/thread.html/r39de20c7e9c808b1f96790875d33e58c9c0aabb...
https://lists.apache.org/thread.html/r3ea4c4c908505b20a4c268330dfe7188b90c84d...
https://lists.apache.org/thread.html/r4cd59453b65d4ac290fcb3b71fdf32b4f1f8989...
https://lists.apache.org/thread.html/r52a5129df402352adc34d052bab9234c8ef6359...
https://lists.apache.org/thread.html/r7f209b837217d2a0fe5977fb692e7f15d37fa5d...
https://lists.apache.org/thread.html/r9dc2505651788ac668299774d9e7af4dc616be2...
https://lists.apache.org/thread.html/rb042f3b0090e419cc9f5a3d32cf0baff283ccd6...
https://lists.apache.org/thread.html/rbee7270556f4172322936b5ecc9fabf0c09f00d...
https://lists.apache.org/thread.html/rd2a89e17e8a9b451ce655f1a34117752ea1d18a...
https://lists.apache.org/thread.html/rd7e865c87f9043c21d9c1fd9d4df866061d9a08...
https://lists.apache.org/thread.html/re641197d204765130618086238c73dd2ce5a3f9...
https://lists.apache.org/thread.html/re8e7482fe54d289fc0229e61cc64947b63b12c3...
https://lists.apache.org/thread.html/reab5978b54a9f4c078402161e30a89c42807b19...
https://lists.apache.org/thread.html/rf7d369de88dc88a1347006a3323b3746d849234...
https://lists.debian.org/debian-lts-announce/2021/03/msg00019.html
https://security.gentoo.org/glsa/202107-52
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache velocity_engine * Up to (excluding) 2.3
运行在以下环境
系统 amazon_2 velocity * Up to (excluding) 1.7-10.2.amzn2
运行在以下环境
系统 debian_10 velocity * Up to (excluding) 1.7-5+deb10u1
运行在以下环境
系统 debian_11 velocity * Up to (excluding) 1.7-6
运行在以下环境
系统 debian_12 velocity * Up to (excluding) 1.7-6
运行在以下环境
系统 debian_9 velocity * Up to (excluding) 1.7-5+deb9u1
运行在以下环境
系统 debian_sid velocity * Up to (excluding) 1.7-6
运行在以下环境
系统 fedora_35 apache-commons-beanutils-javadoc * Up to (excluding) 1.9.4-6.fc35
运行在以下环境
系统 kylinos_aarch64_V10SP2 velocity * Up to (excluding) 1.7-26.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP2 velocity * Up to (excluding) 1.7-26.ky10
运行在以下环境
系统 opensuse_Leap_15.2 velocity-javadoc * Up to (excluding) 1.7-lp152.5.3.1
运行在以下环境
系统 opensuse_Leap_15.3 snakeyaml * Up to (excluding) 1.31-150200.3.8.1
运行在以下环境
系统 opensuse_Leap_15.4 snakeyaml * Up to (excluding) 1.31-150200.3.8.1
运行在以下环境
系统 ubuntu_20.04 velocity * Up to (excluding) 1.7-5+deb9u1build0.20.04.1
阿里云评分 5.6
  • 攻击路径 本地
  • 攻击复杂度 容易
  • 权限要求 普通权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型
NVD-CWE-noinfo
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0