【漏洞通告】CVE-2020-13959 Apache Velocity XSS漏洞
发布时间 2021-01-180x00 漏洞概述
CVE ID | CVE-2020-13959 | 时 间 | 2021-01-18 |
类 型 | XSS | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Apache Velocity Tools 所有版本 |
0x01 漏洞详情
Apache Velocity是基于Java的模板引擎,开发人员可使用其在Model-View-Controller(MVC)架构中设计视图。Velocity Tools是一个由类组成的子项目,它进一步简化了Velocity在标准和网络应用中的集成。
近日,Apache Velocity Tools中一个未公开的XSS漏洞(CVE-2020-13959)被披露,该漏洞会影响其所有版本。尽管该漏洞尚未公开,但其修复程序在2020年11月05日就已在GitHub上发布。
该漏洞为反射型XSS,当访问无效的URL时,"template not found"的错误页面将URL的资源路径部分按原样反映出来,而不对其进行转义。
攻击者可以利用此漏洞诱骗受害者单击这样的URL,从而将受害者引导至被更改的网络钓鱼页面泄露其登录会话信息,或者收集已登录用户的会话Cookie,并劫持其会话。
目前,多个政府网站(如* .nasa.gov 和* .gov.au)正在使用受影响的Apache Velocity Tools。
0x02 处置建议
目前,该漏洞的修复程序已经发布。
下载链接:
https://github.com/apache/velocity-tools/pull/9
0x03 参考链接
http://velocity.apache.org/download.cgi#tools
https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13959
0x04 时间线
2021-01-15 BleepingComputer披露漏洞
2021-01-18 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/