CNCERT：关于Atlassian Confluence Widget Connector存在目录穿越、远程代码执行漏洞的安全公告

安全公告编号:CNTA-2019-0012

2019年4月10日，国家信息安全漏洞共享平台（CNVD）收录了Atlassian Confluence Widget Connector目录穿越、远程代码执行漏洞（CNVD-2019-08177、CNVD-2019-08178）。攻击者利用该漏洞，可在未授权的情况下实现目录穿越及远程执行代码。目前，漏洞利用原理已公开，厂商已发布新版本修复此漏洞。

一、漏洞情况分析

Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki。Confluence的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。Confluence应用于多方面技术研究领域，包括IBM、Sun MicroSystems、SAP等众多知名企业使用Confluence来构建企业Wiki并面向公众开放。 Confluence Widget Connector是 Confluence 的窗口小部件，使用Widget Connector 能将在线视频、幻灯片、图片等直接嵌入网页页面中。

2019年3月20日，Confluence官方发布了版本更新信息，修复了目录穿越、远程代码执行漏洞。该漏洞产生于服务器端模板的注入漏洞，主要存在于Confluence Server及Data Center的插件Widget Connector当中，存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时（/rest/tinymce/1/macro/preview）直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息，同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Atlassian Confluence Server 6.6.12及以下版本；

Atlassian Confluence Server 6.7.0-6.12.2版本；

Atlassian Confluence Server 6.13.3之前的所有6.13.x版本；

Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。

CNVD秘书处对Confluence的全球占有率进行了调查，结果显示全球Confluence系统数量约为61888，其中，8177个系统位于我国境内。

在党政机关、重要行业的信息系统中，使用Confluence建立信息共享wiki站点的比例很小，故影响较低。

三、漏洞处置建议

目前，Confluence官方已发布新版本修复此漏洞，CNVD建议用户立即升级至最新版本：

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence

附：参考链接：

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence

感谢CNVD技术组成员单位——北京知道创宇信息技术有限公司ZoomEye团队、哈尔滨安天科技股份有限公司对本报告提供的技术支持。

声明：本文来自CNVD漏洞平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。