0x01漏洞介绍
ApacheVelocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。
Velocity是Apache基金会旗下的一个开源软件项目,旨在确保Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。
可借助自定义的
Velocity
模板功能,利用Velocity-SSTI
漏洞在Solr系统
上执行任意代码。可借助
Velocity
模板利用该漏洞在系统上执行任意代码。
0x02影响版本
ApacheSolr5.0.0版本至8.3.1
版本中存在注入漏洞。