bet36体育

关于Atlassian Confluence Widget Connector存在目录穿越、远程代码执行漏洞的安全公告

发布时间:2019-04-11

安全公告编号:CNTA-2019-0012

2019年4月10日,国家信息安全漏洞共享平台(CNVD)收录了Atlassian Confluence Widget Connector目录穿越、远程代码执行漏洞(CNVD-2019-08177、CNVD-2019-08178)。攻击者利用该漏洞,可在未授权的情况下实现目录穿越及远程执行代码。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。

一、漏洞情况分析

Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。Confluence的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence应用于多方面技术研究领域,包括IBM、Sun MicroSystems、SAP等众多知名企业使用Confluence来构建企业Wiki并面向公众开放。 Confluence Widget Connector是 Confluence 的窗口小部件,使用Widget Connector 能将在线视频、幻灯片、图片等直接嵌入网页页面中。

2019年3月20日,Confluence官方发布了版本更新信息,修复了目录穿越、远程代码执行漏洞。该漏洞产生于服务器端模板的注入漏洞,主要存在于Confluence Server及Data Center的插件Widget Connector当中,存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时(/rest/tinymce/1/macro/preview)直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息,同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。

CNVD对该漏洞的综合评级为“高危”。 

二、漏洞影响范围

漏洞影响的产品版本包括:

Atlassian Confluence Server 6.6.12及以下版本;

Atlassian Confluence Server 6.7.0-6.12.2版本;

Atlassian Confluence Server 6.13.3之前的所有6.13.x版本;

Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。

CNVD秘书处对Confluence的全球占有率进行了调查,结果显示全球Confluence系统数量约为61888,其中,8177个系统位于我国境内。

在党政机关、重要行业的信息系统中,使用Confluence建立信息共享wiki站点的比例很小,故影响较低。

三、漏洞处置建议

目前,Confluence官方已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本:

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence


附:参考链接:

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence


联系电话:010-62199788
公司地址:北京市昌平区七北路TBD云集中心(42号院)16号楼
Copyright 2015-2020 bet36体育官网有限责任公司版权所有 All Rights Reserved 京ICP备13045911号

扫码关注