首頁 > 安全研究 > 安全通報 > 安全通告

Confluence本地文件泄露漏洞安全通告

發布時間 2019-08-29

?漏洞編號和級別


CVE編號:CVE-2019-3394,危險級別:嚴重,CVSS分值:官方未評定


?影響版本


受影響的版本


以下版本范圍內的 Confluence Server 和 Data Center 受到漏洞影響:


6.1.0 <= version < 6.6.16

6.7.0 <= version < 6.13.7

6.14.0 <= version < 6.15.8


?漏洞概述


8 月 28 日,Atlassian Confluence官方發布安全通告,修復了存在于Confluence 中的一處本地文件泄露漏洞(CVE-2019-3394)。


Atlassian Confluence Server和Atlassian Data Center都是澳大利亞Atlassian公司的產品。Atlassian Confluence Server是一套專業的企業知識管理與協同軟件,也可以用于構建企業WiKi。Atlassian Data Center是一套數據中心系統。


Confluence Server和 Data Center在頁面導出功能中存在本地文件泄露漏洞:具有“添加頁面”空間權限的遠程攻擊者,能夠讀取<install-directory>/confluence/WEB-INF/目錄下的任意文件。該目錄可能包含用于與其他服務集成的配置文件,可能會泄漏認證憑據,例如LDAP認證憑據或其他敏感信息。


?漏洞驗證


暫無POC/EXP。


?修復建議


升級Confluence到已修復漏洞的更新版本:6.15.8 或 6.13.7 或 6.6.16:

https://www.atlassian.com/software/confluence/download

https://www.atlassian.com/software/confluence/download-archives


同時檢查<install-directory>/confluence/WEB-INF目錄及其子目錄(尤其是/classes/目錄),看是否有文件包含LDAP或Crowd認證憑據(比如crowd.properties和atlassian-user.xml文件),以及其他可能含有敏感信息的文件。如若發現含有認證憑據的敏感文件,建議對相關密碼進行修改。


?參考鏈接


https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

上一篇 下一篇