首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】CVE-2020-13959 Apache Velocity XSS漏洞

發布時間 2021-01-18

0x00 漏洞概述

CVE  ID

CVE-2020-13959

時   間

2021-01-18

類   型

XSS

等   級

高危

遠程利用

影響范圍

Apache Velocity Tools

所有版本

 

0x01 漏洞詳情

image.png

 

Apache Velocity是基于Java的模板引擎,開發人員可使用其在Model-View-Controller(MVC)架構中設計視圖。Velocity Tools是一個由類組成的子項目,它進一步簡化了Velocity在標準和網絡應用中的集成。

近日,Apache Velocity Tools中一個未公開的XSS漏洞(CVE-2020-13959)被披露,該漏洞會影響其所有版本。盡管該漏洞尚未公開,但其修復程序在2020年11月05日就已在GitHub上發布。

該漏洞為反射型XSS,當訪問無效的URL時,"template not found"的錯誤頁面將URL的資源路徑部分按原樣反映出來,而不對其進行轉義。

攻擊者可以利用此漏洞誘騙受害者單擊這樣的URL,從而將受害者引導至被更改的網絡釣魚頁面泄露其登錄會話信息,或者收集已登錄用戶的會話Cookie,并劫持其會話。

目前,多個政府網站(如* .nasa.gov 和* .gov.au)正在使用受影響的Apache Velocity Tools。

image.png

image.png

 

 

0x02 處置建議

目前,該漏洞的修復程序已經發布。

下載鏈接:

https://github.com/apache/velocity-tools/pull/9

 

0x03 參考鏈接

http://velocity.apache.org/download.cgi#tools

https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13959

 

0x04 時間線

2021-01-15  BleepingComputer披露漏洞

2021-01-18  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

 

上一篇 下一篇