当前位置: 首页 >> 新闻动态 >> 安全资讯 >> 正文

安全资讯

漏洞预警:Confluence 远程代码执行漏洞 (CVE-2019-3396)
日期:2019-04-10 来源:信息化建设与管理中心  

近日,Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越遍历甚至远程代码执行。

漏洞概述

Confluence 是一个专业的企业知识管理与协同软件,常用于构建企业 wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,甚至实现远程代码执行攻击。近期有安全研究人员披露漏洞利用 PoC,铱迅安全团队提醒用户尽快升级相关软件。

漏洞危害

攻击者构造特定请求可远程遍历服务器任意文件,甚至实现远程代码执行攻击。

受影响范围

Confluence Server

Confluence Data Center

不受影响范围

Version 6.6.12 and higher versions of 6.6.x

Version 6.12.3 and higher versions of 6.12.x

Version 6.13.3 and higher versions of 6.13.x

Version 6.14.2 and higher


关闭

技术支持:信息化建设与管理中心

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85912032(校内短号:82032)

服务邮箱:netser@jiangnan.edu.cn