首页 > 清静研究 > 清静转达 > 清静通告

Confluence远程代码执行误差清静通告

宣布时间 2019-04-09

误差编号和级别

CVE编号：CVE-2019-3395，，，，，，危险级别：严重，，，，，，CVSS分值：9.8

CVE编号：CVE-2019-3396，，，，，，危险级别：严重，，，，，，CVSS分值：9.8

影响版本

产品

Confluence Server

Confluence Data Center

版本

所有1.xx，，，，，，2.xx，，，，，，3.xx，，，，，，4.xx和5.xx版本
所有6.0.x，，，，，，6.1.x，，，，，，6.2.x，，，，，，6.3.x，，，，，，6.4.x和6.5.x版本
6.6.12之前的所有6.6.x版本
所有6.7.x，，，，，，6.8.x，，，，，，6.9.x，，，，，，6.10.x和6.11.x版本
6.12.3之前的所有6.12.x版本
6.13.3之前的所有6.13.x版本

6.14.2之前的所有6.14.x版本

组件

widgetconnector<=3.1.3

误差概述

Confluence是全球盛行的Wiki系统，，，，，，营业涵盖100多个国家或地区。。。。。。。IBM、SAP等之着名企业都使用Confluence构建企业Wiki并向公众开放。。。。。。。

CVE-2019-3395:Atlassian公司的Confluence Server和Data Center产品中的WebDAV端点保存效劳器端请求伪造误差。。。。。。。远程攻击者可使用该误差依附Confluence Server或Data Center实例发送恣意HTTP和WebDAV请求。。。。。。。

CVE-2019-3396:Atlassian公司的Confluence Server和Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中保存效劳器端模板注入(SSTI)误差。。。。。。。攻击者可以通过结构恶意的HTTP请求参数，，，，，，对目的系统实验（路径遍历、恣意文件读取以及远程下令执行）攻击。。。。。。。该类攻击可导致目的系统中的敏感信息被泄露，，，，，，以及执行攻击者结构的恶意代码。。。。。。。

据统计，，，，，，全球共有78158个Confluence开放效劳，，，，，，美国最多，，，，，，有23002个效劳，，，，，，德国第二，，，，，，有14385个开放效劳，，，，，，中国第三，，，，，，有7281个效劳，，，，，，澳大利亚第四，，，，，，有7959个效劳，，，，，，爱尔兰第五，，，，，，有2893个效劳。。。。。。。天下的开放的Confluence效劳中，，，，，，浙江最多，，，，，，有3040个效劳，，，，，，北京第二，，，，，，有1713个效劳，，，，，，上海第三，，，，，，有532个效劳，，，，，，广东第四，，，，，，有525个效劳。。。。。。。

误差使用

使用_template参数笼罩Velocity渲染模板，，，，，，使用file:协议可以举行恣意文件读取(不再受限于classpath)

万利国际官网(中国游)有限公司

通过该要领可以举行外地文件包括，，，，，，从而实现远程代码执行。。。。。。。

万利国际官网(中国游)有限公司

修复建议

现在厂商已宣布升级补丁以修复误差，，，，，，补丁获取链接：https://jira.atlassian.com/browse/CONFSERVER-57974。。。。。。。

参考链接

https://mp.weixin.qq.com/s/7PBKDJ7bjRJHtXUau-swNw
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201903-909
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201903-910
https://nvd.nist.gov/vuln/detail/CVE-2019-3396
https://nvd.nist.gov/vuln/detail/CVE-2019-3395

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

Confluence远程代码执行误差清静通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线