Confluence本地文件泄露漏洞(CVE-2019-3394)

背景信息:

2019年8月29日,监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394),远程攻击者可以利用此漏洞读取WEB-INF目录任意文件,包括程序源码和LDAP证书等,风险较大。

漏洞描述:

Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞,该漏洞要求攻击者登录,且需要"创建文件空间"权限才能成功利用。

漏洞定级:

高危

漏洞影响范围:

影响的产品

  1. Confluence Server
  2. Confluence Data Center

影响的版本

  1. 6.1.0 <= version < 6.6.16
  2. 6.7.0 <= version < 6.13.7
  3. 6.14.0 <= version < 6.15.8

漏洞处置建议:

  1. 升级至安全版本,下载链接:https://www.atlassian.com/software/confluence/download/https://atlassian.com/software/confluence/download/data-center
  2. 官方临时缓解办法:设置属性atlassian.confluence.export.word.max.embedded.images=0,并重启应用,详见官方操作指引:https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
  3. 6.6.16、6.13.7、6.15.8为最新安全版本

扩展知识引用:

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

相关推荐:
Firefox 刚刚修复的 0day 漏洞被用于攻击 Coinbase 雇员。 Coinbase 安全团队的 Philip Martin 称,攻击者组合利用了两个 0day 漏洞,其一是远程代码执行漏洞,其二是沙盒逃脱漏洞。 远程代码执行漏洞是 Google Proj …
当使用Microsoft帐户登录Windows8时,用户的某些系统和应用设置将存储在云中,并与运行Win8的电脑之间实现同步。那大家有没有想过,如果想删除云端中的这些设置,要如何操作呢? 来看看微软的官方答案: 当您使用Mic …
找不到activity类: android.content.ActivityNotFoundException: Unable to find explicit activity class {xxxx} 在AndroidMainifest.xml中增加activity的申明,如: <activity android:name=".xxxActivit …
在没有接互联网的 Win7/2008 R2 系统上安装微软.NET框架时,安装过程会报错“无法建立到信任根颁发机构的证书链”。 这个错误是因为微软.NET框架的数字签名所对应的根证书没有安装。微软现在自己的软件安装时都要强制 …
PHP容易暴露的版本号在什么地方呢?其实也是在HTTP头,以类似X-Powered-By: PHP/5.4.27这种形式存在,可能会想到会不会是Nginx问题,而去到Nginx里面找相关配置,其实这个是在PHP的配置文件php.ini里改动,打开php.i …
拿起手机扫一扫即可带走我!