Confluence本地文件泄露漏洞(CVE-2019-3394)

背景信息:

2019年8月29日,监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394),远程攻击者可以利用此漏洞读取WEB-INF目录任意文件,包括程序源码和LDAP证书等,风险较大。

漏洞描述:

Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞,该漏洞要求攻击者登录,且需要"创建文件空间"权限才能成功利用。

漏洞定级:

高危

漏洞影响范围:

影响的产品

  1. Confluence Server
  2. Confluence Data Center

影响的版本

  1. 6.1.0 <= version < 6.6.16
  2. 6.7.0 <= version < 6.13.7
  3. 6.14.0 <= version < 6.15.8

漏洞处置建议:

  1. 升级至安全版本,下载链接:https://www.atlassian.com/software/confluence/download/https://atlassian.com/software/confluence/download/data-center
  2. 官方临时缓解办法:设置属性atlassian.confluence.export.word.max.embedded.images=0,并重启应用,详见官方操作指引:https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
  3. 6.6.16、6.13.7、6.15.8为最新安全版本

扩展知识引用:

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
相关推荐:
强制删除任意文件以及文件夹的方法
首先将以下代码保存为*.bat DEL /F /A /Q \\?%1 RD /S /Q \\?%1 将要删除的文件以及文件夹拖到该批处理上。
Vim 和 NeoVim 存在高危漏洞(CVE-2019-12735)
漏洞描述: Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735。 漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可 …
浅入分析常见语言中设置 HttpOnly 的方法
一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cooki …
浅谈Ftp中的两种传输模式
FTP是有两种传输的模式的,主动模式和被动模式,很多的朋友可能比较陌生或是多数是不清楚之间的差异。 一个完整的FTP文件传输需要建立两种类型的连接,一种为文件传输下命令,称为控制连接,另一种实现真正 …
安卓开发的常见问题之找不到activity类
找不到activity类: android.content.ActivityNotFoundException: Unable to find explicit activity class {xxxx} 在AndroidMainifest.xml中增加activity的申明,如: <activity android:name=".x …
拿起手机扫一扫即可带走我!