關于Atlassian Confluence Widget Connector存在目錄穿越、遠程代碼執(zhí)行漏洞的安全公告
發(fā)布時間:2019-04-11安全公告編號:CNTA-2019-0012
2019年4月10日,,國家信息安全漏洞共享平臺(CNVD)收錄了Atlassian Confluence Widget Connector目錄穿越,、遠程代碼執(zhí)行漏洞(CNVD-2019-08177、CNVD-2019-08178),。攻擊者利用該漏洞,可在未授權的情況下實現(xiàn)目錄穿越及遠程執(zhí)行代碼,。目前,,漏洞利用原理已公開,廠商已發(fā)布新版本修復此漏洞,。
一,、漏洞情況分析
Confluence是一個專業(yè)的企業(yè)知識管理與協(xié)同軟件,可用于構建企業(yè)wiki,。Confluence的編輯和站點管理特征能夠幫助團隊成員之間共享信息,、文檔協(xié)作、集體討論,,信息推送,。Confluence應用于多方面技術研究領域,包括IBM,、Sun MicroSystems,、SAP等眾多知名企業(yè)使用Confluence來構建企業(yè)Wiki并面向公眾開放。 Confluence Widget Connector是 Confluence 的窗口小部件,,使用Widget Connector 能將在線視頻,、幻燈片、圖片等直接嵌入網頁頁面中,。
2019年3月20日,,Confluence官方發(fā)布了版本更新信息,,修復了目錄穿越、遠程代碼執(zhí)行漏洞,。該漏洞產生于服務器端模板的注入漏洞,,主要存在于Confluence Server及Data Center的插件Widget Connector當中,存在漏洞的版本允許攻擊者通過在插入文檔與視頻相關的內容時(/rest/tinymce/1/macro/preview)直接通過HTTP請求參數(shù)添加_template字段即可回顯相關目錄與文件信息,,同時也可通過file:///等協(xié)議執(zhí)行系統(tǒng)命令,。攻擊者利用該漏洞,可在未經授權的情況下,,對目標網站進行遠程命令執(zhí)行攻擊,。
CNVD對該漏洞的綜合評級為“高危”,。
二,、漏洞影響范圍
漏洞影響的產品版本包括:
Atlassian Confluence Server 6.6.12及以下版本;
Atlassian Confluence Server 6.7.0-6.12.2版本,;
Atlassian Confluence Server 6.13.3之前的所有6.13.x版本,;
Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。
CNVD秘書處對Confluence的全球占有率進行了調查,,結果顯示全球Confluence系統(tǒng)數(shù)量約為61888,,其中,8177個系統(tǒng)位于我國境內,。
在黨政機關,、重要行業(yè)的信息系統(tǒng)中,使用Confluence建立信息共享wiki站點的比例很小,,故影響較低,。
三、漏洞處置建議
目前,,Confluence官方已發(fā)布新版本修復此漏洞,,CNVD建議用戶立即升級至最新版本:
https://www.atlassian.com/software/confluence/download/
https://atlassian.com/software/confluence
附:參考鏈接:
https://www.atlassian.com/software/confluence/download/
https://atlassian.com/software/confluence
