报告编号:B6-2019-040903

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-04-09

0x00 漏洞背景

Confluence是澳大利Atlassian公司推出的知名团队协作工具。

2019年3月20日Confluence官方发布安全公告,在Confluence Server和Data Center产品中存在服务端模版注入漏洞。未授权的攻击者可以利用此漏洞进行服务端模版注入,路径遍历和远程代码执行。

0x01 影响范围

影响产品:

  • Confluence Server
  • Confluence Data Center

影响版本:

  • 6.6.12版本之前所有版本
  • 6.7.0-6.12.2版本
  • 6.13.3之前的所有6.13.x版本
  • 6.14.2之前的所有6.14.x版本

影响组件:

  • Widget Connector <=3.1.3

0x02 漏洞验证

本地文件读取:

远程代码执行:

0x03 修复建议

将Confluence Server及Data Center升级到6.15.1版本,或:

  • 版本<6.6.12,将Confluence升级到6.6.12版本
  • 6.7.0-6.12.2版本的,将Confluence升级到6.12.3版本
  • 6.13.3之前的所有6.13.x版本的,将Confluence升级到6.13.3版本
  • 6.14.2之前的所有6.14.x版本的,将Confluence升级到6.14.2版本

0x04 时间线

2019-03-20  Confluence官方发布安全公告

2019-04-09  360cert进行漏洞预警

0x05 参考链接

  1. Confluence官方安全公告

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。