当前位置: 首页 >> 新闻动态 >> 安全资讯 >> 正文

安全资讯

漏洞预警:Confluence 路径穿越漏洞(CVE-2019-3398)
日期:2019-04-18 来源:信息化建设与管理中心  

近日,Atlassian Confluence 官方发布安全通告,修复了存在于 Confluence 中的一处路径穿越漏洞。Confluence Server 和 Data Center 在 downloadallattachments 资源中存在路径穿越漏洞。攻击者通过利用此漏洞,可以在服务器上任意目录上传文件从而达到远程代码执行的危害。

漏洞概述

Confluence 是一个专业的企业知识管理与协同软件,常用于构建企业 wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

Confluence Server 和 Data Center 产品在 downloadallattachments 资源中存在一个路径穿越漏洞。有权向页面和(或)博客添加附件,或创建新空间或个人空间,或者对空间具有“管理员”权限的远程攻击者可以利用此漏洞将文件写入任意位置,最终导致远程代码执行。Confluence 官方将此漏洞评价为严重级别,铱迅安全团队判断此漏洞影响范围广泛,建议广大用户及时更新 Confluence Server 或 Data Center,以免遭受黑客攻击。

漏洞危害

攻击者通过利用此漏洞,可以在服务器上任意目录上传文件从而达到远程代码执行的危害。

受影响范围

Confluence Server

Confluence Data Center

受影响版本

2.0.0 <= version < 6.6.13

6.7.0 <= version < 6.12.4

6.13.0 <= version < 6.13.4

6.14.0 <= version < 6.14.3

6.15.0 <= version < 6.15.2

修复建议

官方已进行修复,建议升级至最新版本。


关闭

技术支持:信息化建设与管理中心

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85912032(校内短号:82032)

服务邮箱:netser@jiangnan.edu.cn