首页 > 安全研究 > 安全通报 > 安全通告

Confluence本地文件泄露漏洞安全通告

发布时间 2019-08-29

漏洞编号和级别


CVE编号:CVE-2019-3394,危险级别:严重,CVSS分值:官方未评定


影响版本


受影响的版本


以下版本范围内的 Confluence Server 和 Data Center 受到漏洞影响:


6.1.0 <= version < 6.6.16

6.7.0 <= version < 6.13.7

6.14.0 <= version < 6.15.8


漏洞概述


8 月 28 日,Atlassian Confluence官方发布安全通告,修复了存在于Confluence 中的一处本地文件泄露漏洞(CVE-2019-3394)。


Atlassian Confluence Server和Atlassian Data Center都是澳大利亚Atlassian公司的产品。Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。Atlassian Data Center是一套数据中心系统。


Confluence Server和 Data Center在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取/confluence/WEB-INF/目录下的任意文件。该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如LDAP认证凭据或其他敏感信息。


漏洞验证


暂无POC/EXP。


修复建议


升级Confluence到已修复漏洞的更新版本:6.15.8 或 6.13.7 或 6.6.16:

https://www.atlassian.com/software/confluence/download

https://www.atlassian.com/software/confluence/download-archives


同时检查/confluence/WEB-INF目录及其子目录(尤其是/classes/目录),看是否有文件包含LDAP或Crowd认证凭据(比如crowd.properties和atlassian-user.xml文件),以及其他可能含有敏感信息的文件。如若发现含有认证凭据的敏感文件,建议对相关密码进行修改。


参考链接


https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

上一篇 下一篇