OpenOLAT Velocity SSTI 远程代码执行漏洞 漏洞概述 OpenOLAT 在课程提醒邮件功能中使用 Apache Velocity 作为模板引擎。受影响版本中,用户可控输入(如提醒邮件的主题和正文)未经清理直接传入 ,且未配置限制型内省器。具有 Author 角色的认证用户可通过 Velocity 的 指令注入恶意模板代码,实例化任意 Java 类(如 ),最终以 Tomcat 进程权限执行操作系统命令。 漏洞代码路径: 影响范围 受影响版本 安全版本 额外受影响注入点 - 评分配置提醒、IQ测试确认、GTA节点提交邮件、联系表单、CP通知 - 任务节点下拉确认消息 - 批量用户更改属性值 - 证书HTML模板上传 , , , 影响 Author 角色用户可实现未认证远程代码执行,在典型部署(Docker/Kubernetes)中 Tomcat 以 root 运行,攻击者可完全控制主机,包括读取/窃取所有数据(用户凭证、课程内容、个人数据)、修改或删除数据、转向其他内部系统。 修复方案 官方补丁 补丁引入 类集中创建安全加固的 实例: 临时缓解措施 将 Author 角色限制为完全可信用户 如不需要,通过系统配置禁用课程提醒功能 强烈建议升级至补丁版本:19.1.31、20.1.18 或 20.2.5