【漏洞预警】Confluence本地文件泄露漏洞(CVE-2019-3394)

2019年8月29日，阿里云应急响应中心监测到Confluence 官方发布安全更新，指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394)，远程攻击者可以利用此漏洞读取WEB-INF目录任意文件，包括程序源码和LDAP证书等，风险较大。

漏洞描述

Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞，该漏洞要求攻击者登录，且需要"创建文件空间"权限才能成功利用。

漏洞评级

CVE-2019-3394 高危

影响软件

Confluence Server

Confluence Data Center

安全版本

6.6.16

6.13.7

6.15.8

影响版本

6.1.0 <= version < 6.6.16

6.7.0 <= version < 6.13.7

6.14.0 <= version < 6.15.8

安全建议

1、升级至安全版本，下载链接：

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence/download/data-center

2、官方临时缓解办法：

设置属性atlassian.confluence.export.word.max.embedded.images=0，并重启应用，详见官方操作指引：https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

云盾WAF已可防御此漏洞攻击

相关链接

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2019.8.29

正文

【漏洞预警】Confluence本地文件泄露漏洞(CVE-2019-3394)

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]