I. Descrição

O Apache Velocity oficialmente revelou uma vulnerabilidade de execução remota de código (CVE-2020-13936). Um atacante capaz de modificar modelos do Velocity pode executar códigos Java arbitrários ou comandos de sistemas arbitrários com os mesmos privilégios da conta que opera o container Servlet.

O Velocity é um projeto de software de código aberto mantido pela Apache Software Foundation. Seu objetivo é assegurar uma separação clara entre a camada de apresentação e as camadas de negócios em uma aplicação web (o padrão de design modelo-visão-controle).

Se você for um usuário do Apache Velocity, verifique seu serviço e implemente medidas para a mitigação de riscos à segurança prontamente.

Para mais informações sobre essa vulnerabilidade, acesse o site a seguir:

https://velocity.apache.org/news.html#CVE-2020-13936

II. Gravidade

Gravidade: moderada

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

Apache Velocity 2.2 e anteriores

Versões seguras:

Apache Velocity 2.3 e posteriores

IV. Tratamento da vulnerabilidade

Essa vulnerabilidade foi corrigida na versão oficial mais recente. Caso a versão do seu serviço faça parte do escopo afetado, atualize-a para a versão mais recente segura.

https://velocity.apache.org/download.cgi

Observação: Antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.