Apache Velocity Engine 1.5
License 관리자
게시글 작성 시각 2021-12-08 08:48:27
컴포넌트 명 : Apache Velocity Engine
버전 정보 | 취약점 ID | 취약점 최종 보고일 | 심각도 |
---|---|---|---|
1.5 | CVE-2020-13936 | 2021/09/23 | 9.0 (Critical) |
취약점 ID : CVE-2020-13936
취약점 설명 | An attacker that is able to modify Velocity templates may execute arbitrary Java code or run arbitrary system commands with the same privileges as the account running the Servlet container. This applies to applications that allow untrusted users to upload/modify velocity templates running Apache Velocity Engine versions up to 2.2. Velocity 템플릿을 수정할 수 있는 공격자는 Servlet 컨테이너를 실행하는 계정과 동일한 권한으로 임의의 Java 코드를 실행하거나 임의의 시스템 명령을 실행할 수 있습니다. 이는 신뢰할 수 없는 사용자가 2.2 버전까지의 Apache Velocity Engine의 Velocity 템플릿을 업로드/수정하도록 허용합니다. |
---|---|
대응 방안 | 2.3 이상 버전으로 업데이트 |
기타 | - |
-
번호 | 컴포넌트 명 및 버전 | 취약점ID | 심각도 |
취약점 최종 보고일 |
대응방안 |
---|---|---|---|---|---|
167 | istio 1.9.4 | CVE-2021-31921 | 7.5 (High) | 2021/07/30 | |
166 | GoGo Protobuf 1.3.1 | CVE-2021-3121 | 7.5 (High) | 2021/10/18 | |
165 | Apache Log4j2 2.14.1 | CVE-2021-44228 | 10.0 (Critical) | 2021/12/12 | |
164 | aws-sdk-js 2.167.0 | CVE-2020-28472 | 7.5 (High) | 2021/01/28 | |
163 | y18n 5.0.0 | CVE-2020-7774 | 7.5 (High) | 2021/07/21 | |
162 | swiper 5.3.8 | CVE-2021-23370 | 7.5 (High) | 2021/04/19 | |
161 | Apache Hadoop 2.6.0 | CVE-2017-3162 | 7.5 (High) | 2021/07/03 | |
160 | Apache Velocity Engine 1.5 | CVE-2020-13936 | 9.0 (Critical) | 2021/09/23 | |
159 | Apache Commons Beanutils 1.8.3 | CVE-2019-10086 | 7.5 (High) | 2021/10/20 | |
158 | TensorFlow 2.4.1 | CVE-2021-37678 | 4.6 (Medium) | 2021/08/19 |