អ្នកជំនាញសន្តិសុខអ៊ីនធឺណិតបានរកឃើញ cross-site scripting (XSS) គ្រោះថ្នាក់នៅក្នុង Apache Velocity Tools ដែលអាចជាការគំរាមកំហែងរបស់ហេគឃ័រចំពោះគេហទំព័ររដ្ឋាភិបាលអាមេរិក (.nasa.gov, and .gov.au) និង NASA។ បញ្ហានេះរកឃើញកាលពី៩០ថ្ងៃមុន តែទោះបីជាយ៉ាងណា វាទំនងជាមិនទាន់ត្រូវបានដោះស្រាយនៅឡើយទេ រហូតមកដល់ពេលនេះ។ នេះជា Java-based template និងប្រើដោយអភិវឌ្ឍ ដើម្បីបង្កើត views នៅក្នុង Model-View-Controller architecture។ Velocity Tool គឺជាគម្រោង ដែលបង្កើតឡើងដើម្បីជួយសម្រួលដល់ការរួមបញ្ចូល Velocity ទៅជា web application។
អ្នកជំនាញបានបន្ថែមថា បញ្ហានៅក្នុង Velocity Tools ត្រូវការពេលច្រើន ដើម្បីដោះស្រាយ។ ទោះបី កំហុសត្រូវបានជួសជុល តែនៅមិនទាន់រួចរាល់ទេ បញ្ហានៅកើតមានលើ CVE-2020-13959។
Apache Velocity Tools ដែលមានកំហុសរួមមានជាង ២៦០០ unique binaries នៃកម្មវិធីដែលអាច download បានពី npm, PyPl, Maven Central និង open source repositories ជាច្រើនទៀត។ ដែល ពេញនិយមចំពោះអ្នកអភិវឌ្ឍកម្មវិធី ទាំងអស់នេះត្រូវបានរាយការណ៍ថាគ្មានសុវត្ថិភាពទេ។
បញ្ហាកើតមាននៅក្នុង របៀបបង្ហាញគេហទំព័រ VelocityViewServlet បង្ហាញគេហទំព័រ error។ ពេល invalid URL ត្រូវបានដំណើរការ “template រកមិនឃើញ” error page បង្ហាញ resource path portion នៃ URL ដែលវាមាន ដោយបង្ហាញ XSS scripts។ ជាលទ្ធផល ហេគឃ័រអាចកុហកជនរងគ្រោះឱ្យចុច លើ URL នឹងនាំពួកគេទៅកាន់ platform អាក្រក់ ហើយនៅទីនោះហើយដែលហេគឃ័រអាចលួចយក ទិន្នន័យពីអ្នកប្រើបាន៕
