网易彩票

<form id="cvxz"></form>

<address id="cvxz"><listing id="cvxz"><meter id="cvxz"></meter></listing></address>

        <em id="cvxz"></em>

        <form id="cvxz"></form>

          
          

                  <kbd id='qwert'></kbd><address id='qwert'><style id='qwert'></style></address><button id='qwert'></button>

                      关于Atlassian Confluence Widget Connector存在目录穿越、远程代码执行漏洞的安全公告

                      發布時間:2019-04-11

                      安全公告編號:CNTA-2019-0012

                      2019年4月10日,国家信息安全漏洞共享平台(CNVD)收录了Atlassian Confluence Widget Connector目录穿越、远程代码执行漏洞(CNVD-2019-08177、CNVD-2019-08178)。攻击者利用该漏洞,可在未授权的情况下实现目录穿越及远程执行代码。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。

                      一、漏洞情況分析

                      Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。Confluence的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence应用于多方面技术研究领域,包括IBM、Sun MicroSystems、SAP等众多知名企业使用Confluence来构建企业Wiki并面向公众开放。 Confluence Widget Connector是 Confluence 的窗口小部件,使用Widget Connector 能将在线视频、幻灯片、图片等直接嵌入网页页面中。

                      2019年3月20日,Confluence官方发布了版本更新信息,修复了目录穿越、远程代码执行漏洞。该漏洞产生于服務器端模板的注入漏洞,主要存在于Confluence Server及Data Center的插件Widget Connector当中,存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时(/rest/tinymce/1/macro/preview)直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息,同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。

                      CNVD對該漏洞的綜合評級爲“高危”。 

                      二、漏洞影響範圍

                      漏洞影响的産品版本包括:

                      Atlassian Confluence Server 6.6.12及以下版本;

                      Atlassian Confluence Server 6.7.0-6.12.2版本;

                      Atlassian Confluence Server 6.13.3之前的所有6.13.x版本;

                      Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。

                      CNVD秘書處對Confluence的全球占有率進行了調查,結果顯示全球Confluence系統數量約爲61888,其中,8177個系統位于我國境內。

                      在黨政機關、重要行業的信息系統中,使用Confluence建立信息共享wiki站點的比例很小,故影響較低。

                      三、漏洞處置建議

                      目前,Confluence官方已發布新版本修複此漏洞,CNVD建議用戶立即升級至最新版本:

                      https://www.atlassian.com/software/confluence/download/

                      https://atlassian.com/software/confluence


                      附:參考鏈接:

                      https://www.atlassian.com/software/confluence/download/

                      https://atlassian.com/software/confluence


                      聯系電話:010-62199788
                      公司地址:北京市昌平區七北路TBD雲集中心(42號院)16號樓
                      Copyright 2015-2020 长安通信科技有限责任公司版权所有 All Rights Reserved 京ICP备13045911号

                      掃碼關注