背景信息：

2019年8月29日，监测到Confluence 官方发布安全更新，指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394)，远程攻击者可以利用此漏洞读取WEB-INF目录任意文件，包括程序源码和LDAP证书等，风险较大。

漏洞描述：

Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞，该漏洞要求攻击者登录，且需要"创建文件空间"权限才能成功利用。

漏洞定级：

高危

漏洞影响范围：

影响的产品

1. Confluence Server
2. Confluence Data Center

影响的版本

1. 6.1.0 <= version < 6.6.16
2. 6.7.0 <= version < 6.13.7
3. 6.14.0 <= version < 6.15.8

漏洞处置建议：

1. 升级至安全版本，下载链接：https://www.atlassian.com/software/confluence/download/、https://atlassian.com/software/confluence/download/data-center
2. 官方临时缓解办法：设置属性atlassian.confluence.export.word.max.embedded.images=0，并重启应用，详见官方操作指引：https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
3. 6.6.16、6.13.7、6.15.8为最新安全版本

扩展知识引用：

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html