背景信息:
2019年8月29日,监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394),远程攻击者可以利用此漏洞读取WEB-INF目录任意文件,包括程序源码和LDAP证书等,风险较大。
漏洞描述:
Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞,该漏洞要求攻击者登录,且需要"创建文件空间"权限才能成功利用。
漏洞定级:
高危
漏洞影响范围:
影响的产品
- Confluence Server
- Confluence Data Center
影响的版本
- 6.1.0 <= version < 6.6.16
- 6.7.0 <= version < 6.13.7
- 6.14.0 <= version < 6.15.8
漏洞处置建议:
- 升级至安全版本,下载链接:https://www.atlassian.com/software/confluence/download/、https://atlassian.com/software/confluence/download/data-center
- 官方临时缓解办法:设置属性atlassian.confluence.export.word.max.embedded.images=0,并重启应用,详见官方操作指引:https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
- 6.6.16、6.13.7、6.15.8为最新安全版本
扩展知识引用:
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html