Confluence本地文件泄露漏洞(CVE-2019-3394)

背景信息:

2019年8月29日,监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394),远程攻击者可以利用此漏洞读取WEB-INF目录任意文件,包括程序源码和LDAP证书等,风险较大。

漏洞描述:

Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞,该漏洞要求攻击者登录,且需要"创建文件空间"权限才能成功利用。

漏洞定级:

高危

漏洞影响范围:

影响的产品

  1. Confluence Server
  2. Confluence Data Center

影响的版本

  1. 6.1.0 <= version < 6.6.16
  2. 6.7.0 <= version < 6.13.7
  3. 6.14.0 <= version < 6.15.8

漏洞处置建议:

  1. 升级至安全版本,下载链接:https://www.atlassian.com/software/confluence/download/https://atlassian.com/software/confluence/download/data-center
  2. 官方临时缓解办法:设置属性atlassian.confluence.export.word.max.embedded.images=0,并重启应用,详见官方操作指引:https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
  3. 6.6.16、6.13.7、6.15.8为最新安全版本

扩展知识引用:

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

相关推荐:
美国司法部监察长办公室发表报告称,去年黑客利用 Raspberry Pi 入侵了 JPL 的网络。 事故发生在 2018 年 4 月,JPL 的某位出于未知目的把一个 Raspberry Pi 连接到网络中,这个单板电脑与外界互联网的网络 …
Notepad++是一款免费的源代码编辑器,并且可以替代系统自带的记事本的功能,同时也支持各类流行的计算机编程语言。编辑器可以运行在微软的windows系统环境下,它的使用是受GPL许可证保护的,支持的语言:C …
UltraViewer是一个免费的远程控制软件,它拥有和TeamViewer类似的界面和操作方式。 如果你正缺少或者正在寻找一个类似TeamViewer的免费远程控制软件,那么UltraViewer是非常不错的选择,使用过后也能体会到 …
背景信息: Gitlab Wiki API 是一组用于对Gitlab项目Wiki页面进行创建、编辑、列表、删除等功能的接口。 漏洞描述: 该API在处理外部输入时未做有效过滤,导致攻击者构造特定的恶意请求,可以在目标服务器 …
很多人向我咨询关于重装系统对电脑的负面影响,现在我很负责的告诉你,偶尔的重装系统是没有明显的影响的,但是频繁的重装系统那就会导致硬盘长时间高速、过热运行,会导致硬盘寿命缩短以及出现许多未知事 …
拿起手机扫一扫即可带走我!