新闻公告
APACHE FREEMARKER模板FUSIONAUTH远程代码执行漏洞 (CVE-2020-7799)
近日,Apache FusionAuth发布新版本修复了一个远程代码执行漏洞。该组件利用了Apache FreeMarker模板引擎,通过验证的用户在使用Apache FusionAuth进行模板编辑时,可以利用freemarker.template.utility.Execute在服务器上执行任意命令。
综述
近日,Apache FusionAuth发布新版本修复了一个远程代码执行漏洞。该组件利用了Apache FreeMarker模板引擎,通过验证的用户在使用Apache FusionAuth进行模板编辑时,可以利用freemarker.template.utility.Execute在服务器上执行任意命令。
受影响的版本
Apache FusionAuth <= 1.10
不受影响的版本
Apache FusionAuth > 1.11
解决方案
该漏洞已经在FusionAuth 1.11版本中修复,受影响的用户请尽快更新升级进行防护。
参考链接:
https://lab.mediaservice.net/advisory/2020-03-fusionauth.txt
https://freemarker.apache.org/