1.漏洞描述 VelocityView的默认错误页面在Apache Velocity工具3.1之前反映的vm文件进入作为URL的一部分。攻击者可以XSS有效负载文件设置为这个虚拟机文件的URL在这个负载被执行结果。XSS漏洞允许攻击者攻击网站的上下文中执行任意JavaScript和攻击用户。这可以滥用窃取会话cookie,执行请求的名称或钓鱼攻击受害者。 2.影响产品(系统版本 是否受影响) 中标麒麟高级服务器操作系统 V7 不影响 银河麒麟高级服务器操作系统 V10 不影响 中标麒麟高级服务器操作系统 V6 不影响 银河麒麟高级服务器操作系统（兼容版） V10 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2020-13959 中等 6.5 其他 漏洞评分向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N