【高危】- Confluence Server 远程代码执行漏洞(CVE-2019-3395等)
■ 漏洞描述
Confluence Server和Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞,攻击者可以利用该漏洞实现对目标系统进行路径遍历攻击、服务端请求伪造(SSRF)、远程代码执行(RCE)。
■ 影响范围
除了6.6.12,6.12.3,6.13.3,6.14.2之后版本外的所有其他Confluence Server、Confluence Data Center版本均受到影响。
■ 漏洞修复
升级Confluence到最新版本,升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar,并重启Confluence应用。
官方版本地址:https://www.atlassian.com/software/confluence/download/、https://atlassian.com/software/confluence/download/data-center。
■ 缓解措施
如果暂时无法完成升级,可以设置网络访问白名单或者接入WAF进行防护。
■ 漏洞详情
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html。
Confluence Server和Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞,攻击者可以利用该漏洞实现对目标系统进行路径遍历攻击、服务端请求伪造(SSRF)、远程代码执行(RCE)。
■ 影响范围
除了6.6.12,6.12.3,6.13.3,6.14.2之后版本外的所有其他Confluence Server、Confluence Data Center版本均受到影响。
■ 漏洞修复
升级Confluence到最新版本,升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar,并重启Confluence应用。
官方版本地址:https://www.atlassian.com/software/confluence/download/、https://atlassian.com/software/confluence/download/data-center。
■ 缓解措施
如果暂时无法完成升级,可以设置网络访问白名单或者接入WAF进行防护。
■ 漏洞详情
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html。