关于Atlassian Confluence Widget Connector存在高危漏洞的预警通报(2019.04.13)

  • 2019年04月16日 10:18
  • 点击:[]

北京网络与信息安全信息通报中心通报,近日,国家信息安全漏洞共享平台(CNVD)收录了Atlassian Confluence Widget Connector目录穿越、远程代码执行漏洞,上述漏洞定级为高危漏洞。攻击者利用该漏洞,可在未授权的情况下实现目录穿越及远程执行代码。

Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki,帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

Confluence Widget Connector是 Confluence 的窗口小部件,使用Widget Connector 能将在线视频、幻灯片、图片等直接嵌入网页页面中。

一、漏洞基本情况

该漏洞产生于服务器端模板的注入漏洞,主要存在于Confluence Server及Data Center的插件Widget Connector当中,存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时(/rest/tinymce/1/macro/preview)直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息,同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。

二、影响范围

Atlassian Confluence Server 6.6.12及以下版本;

Atlassian Confluence Server 6.7.0-6.12.2版本;

Atlassian Confluence Server 6.13.3之前的所有6.13.x版本;

Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。

三、网络安全工作提示

针对该情况,请及时开展以下几方面的工作:

1.及时更新升级。Confluence官方已发布了版本更新信息,修复了目录穿越、远程代码执行漏洞,请及时前往官方网站下载更新;

2.开展自查及备份。及时进行问题清零,对重要的数据、文件进行定期备份;

3.加强监测和应急处置。进一步完善网络与信息系统突发事件应急预案,确保突发事件应急响应及时、规范、有效。突出情况及时向属地公安机关网安部门报告。

素材来源:北京网络与信息安全信息通报中心


上一条:关于对IE浏览器零日漏洞及时更新补丁的通报(2019.01.03)
下一条:信息安全专家提醒:蹭免费网小心个人信息被盗(2019.04.16)

关闭