Confluence本地文件泄露漏洞(CVE-2019-3394)

背景信息:

2019年8月29日,监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394),远程攻击者可以利用此漏洞读取WEB-INF目录任意文件,包括程序源码和LDAP证书等,风险较大。

漏洞描述:

Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞,该漏洞要求攻击者登录,且需要”创建文件空间”权限才能成功利用。

漏洞定级:

高危

漏洞影响范围:

影响的产品

  1. Confluence Server
  2. Confluence Data Center

影响的版本

  1. 6.1.0 <= version < 6.6.16
  2. 6.7.0 <= version < 6.13.7
  3. 6.14.0 <= version < 6.15.8

漏洞处置建议:

  1. 升级至安全版本,下载链接:https://www.atlassian.com/software/confluence/download/https://atlassian.com/software/confluence/download/data-center
  2. 官方临时缓解办法:设置属性atlassian.confluence.export.word.max.embedded.images=0,并重启应用,详见官方操作指引:https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
  3. 6.6.16、6.13.7、6.15.8为最新安全版本

扩展知识引用:

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • UltraEdit是世界上领先的,功能强大的,极具价值的文本编辑器、十六进制编辑器、HTML编辑器、PHP编辑器、Javascript编辑器、Perl 编辑器和程序编辑器。 UltraEdit是一款全球功能一流的文本编辑软件,支持配置高亮语法和几乎所有编程语言的代码结构。 内建英文单字检查,可同时编...
  • Google Project Zero安全团队研究员 Tavis Ormandy 披露了一个微软尚未修复的 Windows 10 0day 漏洞。 Project Zero 的漏洞披露截至时间是 90 天,微软也承诺在 90 天里修复漏洞,但未能兑现,所以在第 91 天 Ormandy 公开了漏洞。...
  • Microsoft .NET Framework 4.7 又被称为 .NET 2017,将会集成在 Windows 10 之中,同时支持 32/64 位,支持简体中文等多种语言。 .NET框架(.NET Framework) 是由微软开发,一个致力于敏捷软件开发(Agile softwaredeve...
  • 在linux上,我们使用df命令只能看到磁盘的总体占用情况,无法看到具体的内容或目录占用情况,有些时候为了统计或者排查磁盘的具体占用时,我们需要细到每一个目录或文件,此时有一个命令可以帮到我们。 [root@localhost /]# du -h --max-depth=1 33M ./sbin 3...
  • 在编译php的时候,经常会遇到一些依赖的问题,比如这里曝露出的curl问题,具体的出错信息为: configure: error: Please reinstall the libcurl distribution - easy.h should be in <curl-dir>/inc...
微信扫一扫即可带走我!