热门标签
热门文章
- 1打开容器nvidia-container报错或Error response from daemon could not select device driver with capabilities_error response from daemon: could not select devic
- 2(主机)ARP表(ip/mac)、(交换机)交换/转发/MAC表(mac端口 同一网段)、(路由器)路由表(不同网段)_交换机arp表
- 3错误:.TemplateProcessingException: Exception evaluating SpringEL expression:_exception processing template "error": exception e
- 4粤嵌GEC6818板子-LGD显示操作_怎么在6818开发板上进行频幕显示
- 5NLP(五):支持向量机SVM原理及文本分类的sklearn实现_svm sklearn nlp
- 6网络安全-端口扫描和服务识别的几种方式
- 7力扣hot 100 题解记录一_力扣hot100
- 8【 This error originates from a subprocess, and is likely not a problem with pip.】_collecting sklearn downloading sklearn-0.0.post12.
- 918张图带你详解IP路由表七大要素:路由前缀、协议类型、优先级等_路由的表示方法
- 10软件测试220道试题及答案_软件测试 客观题
当前位置: article > 正文
Apache Velocity漏洞CVE-2020-13936修复记录
作者:编程挑战者 | 2024-02-04 13:02:35
赞
踩
cve-2020-13936
Apache Velocity漏洞CVE-2020-13936修复记录
最近由于某些懂得都懂的原因,我们在疯狂的修复漏洞,近期发现了一个Apache Velocity的漏洞,声称如果Velocity版本在2.2及以下时,会有被通过模板攻击的危险。
升级jar包即可
有两个问题需要注意一下
一、velocity在1.7以后换名字了
可以看到maven仓库的apache velocity版本就到1.7,而且是10年更新的。
经过反编译分析之后发现新的velocity改名了,叫velocity engine(这里要注意导致高危漏洞的原因是velocity里面的template)
这里给出pom
<dependency>
<groupId>org.apache.velocity</groupId>
<artifactId>velocity-engine-core</artifactId>
<version>2.3</version>
</dependency>
- 1
- 2
- 3
- 4
- 5
二、velocity2.3的升级需要jdk1.8
jdk1.6升级会报错,需要1.8才可以升级
附录
官方地址
https://velocity.apache.org/download.cgi
- 1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/article/detail/58684
推荐阅读
相关标签
