漏洞预警:Confluence 路径穿越漏洞（CVE-2019-3398）-江南大学信息化建设管理处

网络安全

热点新闻

网络安全

当前位置: 首页 >> 网络安全 >> 正文

漏洞预警:Confluence 路径穿越漏洞（CVE-2019-3398）

信息化建设与管理中心发布日期：2019-04-18

近日，Atlassian Confluence 官方发布安全通告，修复了存在于 Confluence 中的一处路径穿越漏洞。Confluence Server 和 Data Center 在 downloadallattachments 资源中存在路径穿越漏洞。攻击者通过利用此漏洞，可以在服务器上任意目录上传文件从而达到远程代码执行的危害。

漏洞概述

Confluence 是一个专业的企业知识管理与协同软件，常用于构建企业 wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。

Confluence Server 和 Data Center 产品在 downloadallattachments 资源中存在一个路径穿越漏洞。有权向页面和（或）博客添加附件，或创建新空间或个人空间，或者对空间具有“管理员”权限的远程攻击者可以利用此漏洞将文件写入任意位置，最终导致远程代码执行。Confluence 官方将此漏洞评价为严重级别，铱迅安全团队判断此漏洞影响范围广泛，建议广大用户及时更新 Confluence Server 或 Data Center，以免遭受黑客攻击。

漏洞危害

攻击者通过利用此漏洞，可以在服务器上任意目录上传文件从而达到远程代码执行的危害。

受影响范围

Confluence Server

Confluence Data Center

受影响版本

2.0.0 <= version < 6.6.13

6.7.0 <= version < 6.12.4

6.13.0 <= version < 6.13.4

6.14.0 <= version < 6.14.3

6.15.0 <= version < 6.15.2

修复建议

官方已进行修复，建议升级至最新版本。

上一条：

漏洞预警：Oracle WebLogic wls9-async 组件反序列化远程命令执行漏洞

下一条：

漏洞预警：WebLogic Blind XXE漏洞预警