首頁 > 安全研究 > 安全通報 > 安全通告

Atlassian中存在0day漏洞風險通告

發布時間 2019-12-06

漏洞編號和級別


CVE編號:CVE-2019-15006,危險級別:高危,CVSS分值:官方未評定


影響版本


Atlassian Confluence server


漏洞概述


安全人員SwiftOnSecurity周二更新Twitter,無意中披露了一個影響企業軟件業務Atlassian的零日漏洞,該漏洞可能在IBM的Aspera軟件中得到體現。SwiftOnSecurity Twitter帳戶顯示,Atlassian提供了一個使用其Confluence云服務使用通用SSL證書解析到本地服務器的域,以使Atlassian Companion應用程序可以在首選本地應用程序中編輯文件并將文件保存回Confluence。任何具有足夠技術知識的人都可以復制SSL密鑰,然后使用它進行中間人攻擊,這可能使攻擊者將應用程序流量重定向到惡意站點。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商沒有發布漏洞修復程序,請及時關注更新:https://confluence.atlassian.com/doc/administering-the-atlassian-companion-app-958456281.html。


參考鏈接


https://www.theregister.co.uk/2019/12/05/atlassian_zero_day_bug/


上一篇 下一篇