Avisos públicos

Todos los avisos > Anuncios de seguridad > Vulnerabilidad de ejecución remota de código de Apache Velocity (CVE-2020-13936)

Vulnerabilidad de ejecución remota de código de Apache Velocity (CVE-2020-13936)

23 mar. 2021 GMT+08:00

I. Información general

Apache Velocity reveló oficialmente una vulnerabilidad de ejecución remota de código (CVE-2020-13936). Un atacante que sea capaz de modificar plantillas de Velocity puede ejecutar código Java o comandos del sistema de forma arbitraria con los mismos privilegios que la cuenta que ejecuta el contenedor de Servlet.

Velocity es un proyecto de software de código abierto patrocinado por Apache Software Foundation. Su objetivo es garantizar una separación clara entre la capa de presentación y las capas de negocio de una aplicación web (patrón de diseño modelo-vista-controlador).

Si usted es usuario de Apache Velocity, verifique su servicio e implemente las mejoras de seguridad de manera oportuna.

Para obtener más información sobre esta vulnerabilidad, visite el siguiente sitio web:

https://velocity.apache.org/news.html#CVE-2020-13936

II. Severidad

Severidad: moderada

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Apache Velocity 2.2 y versiones anteriores

Versiones seguras:

Apache Velocity 2.3 y versiones posteriores

IV. Manejo de la vulnerabilidad

Esta vulnerabilidad se corrigió en la versión oficial más reciente. Si la versión de su servicio pertenece al rango afectado, actualícela con la versión segura más reciente.

https://velocity.apache.org/download.cgi

Nota: Antes de corregir las vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.