一 漏洞概述

北京时间1月28日，NVD发布了一个FusionAuth存在Apache Freemarker模板远程命令执行（CVE-2020-7799）的漏洞。

FusionAuth是现代的访问管理开源应用程序，可以与多种技术和平台集成。可以通过管理仪表板以多种方式配置和自定义FusionAuth，为任何应用程序提供身份验证、授权和用户管理；由于使用Apache FreeMarker模板引擎，且未对用户输入数据进行过滤，此漏洞将对服务器安全造成威胁。

二 漏洞危害

在FusionAuth中经过身份验证的用户可以编辑电子邮件模板(Home->Settings->Email Templates)或主题(Home->Settings->Themes)，从而通过处理自定义模板的Apache FreeMarker引擎中的freemarker.template.utility.Execute在底层操作系统上执行任意命令。

三 影响版本

受影响版本

• FusionAuth  <= 1.10.1

不受影响版本

• FusionAuth  >= 1.11

四 验证方法

相关用户可通过版本检测的方法判断当前应用是否存在风险，在web管理页面左下方可查看当前所使用的FusionAuth版本：

若当前版本在受影响范围内，则可能存在安全风险。

五 修复建议

该漏洞已经在FusionAuth 1.11版本中修复，受影响的用户请尽快更新升级进行防护。详细升级过程可参考官方的升级文档。

快速升级：https://fusionauth.io/docs/v1/tech/installation-guide/fast-path

手动升级：https://fusionauth.io/docs/v1/tech/installation-guide/upgrade