Confluence Server遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險(xiǎn)通告
2019-04-08 00:00:00
親愛的金山云用戶:
您好���! 2019 年04月08日,金山云安全應(yīng)急響應(yīng)中心收到關(guān)于Confluence Server和Data Center產(chǎn)品中使用的widgetconnecter組件(版本<=3.1.3)中存在服務(wù)器端模板注入(SSTI)漏洞的風(fēng)險(xiǎn)預(yù)警����。詳情如下:
漏洞編號(hào): CVE-2019-3396
漏洞名稱: Confluence Server 遠(yuǎn)程代碼執(zhí)行漏洞
漏洞危害等級(jí): 高危
漏洞描述: 攻擊者可以通過構(gòu)造惡意的 HTTP 請(qǐng)求參數(shù)��,對(duì)目標(biāo)系統(tǒng)實(shí)施(路徑遍歷��、任意文件讀取以及遠(yuǎn)程命令執(zhí)行)攻擊�。該類攻擊可導(dǎo)致目標(biāo)系統(tǒng)中的敏感信息被泄露�,以及執(zhí)行攻擊者構(gòu)造的惡意代碼。近日已有安全人員將漏洞的利用 POC 公開����,金山云安全應(yīng)急響應(yīng)中心建議用戶盡快升級(jí)至安全版本。
影響版本:
產(chǎn)品
Confluence Server
Confluence Data Center
版本
所有1.xx���,2.xx�,3.xx����,4.xx和5.xx版本
所有6.0.x,6.1.x���,6.2.x�����,6.3.x�,6.4.x和6.5.x版本
6.6.12之前的所有6.6.x版本
所有6.7.x,6.8.x�����,6.9.x�,6.10.x和6.11.x版本
6.12.3之前的所有6.12.x版本
6.13.3之前的所有6.13.x版本
6.14.2之前的所有6.14.x版本
組件
widgetconnector<=3.1.3
修復(fù)方案: 進(jìn)行升級(jí)
版本6.6.12及更高版本的6.6.x.
版本6.12.3及更高版本的6.12.x
版本6.13.3及更高版本的6.13.x
版本6.14.2及更高版本
參考鏈接:
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2019/04/08