Confluence本地文件泄露漏洞安全通告
发布时间 2019-08-29•漏洞编号和级别
CVE编号:CVE-2019-3394,危险级别:严重,CVSS分值:官方未评定
•影响版本
受影响的版本
以下版本范围内的 Confluence Server 和 Data Center 受到漏洞影响:
6.1.0 <= version < 6.6.16
6.7.0 <= version < 6.13.7
6.14.0 <= version < 6.15.8
•漏洞概述
8 月 28 日,Atlassian Confluence官方发布安全通告,修复了存在于Confluence 中的一处本地文件泄露漏洞(CVE-2019-3394)。
Atlassian Confluence Server和Atlassian Data Center都是澳大利亚Atlassian公司的产品。Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。Atlassian Data Center是一套数据中心系统。
Confluence Server和 Data Center在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取<install-directory>/confluence/WEB-INF/目录下的任意文件。该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如LDAP认证凭据或其他敏感信息。
•漏洞验证
暂无POC/EXP。
•修复建议
升级Confluence到已修复漏洞的更新版本:6.15.8 或 6.13.7 或 6.6.16:
https://www.atlassian.com/software/confluence/download
https://www.atlassian.com/software/confluence/download-archives
同时检查<install-directory>/confluence/WEB-INF目录及其子目录(尤其是/classes/目录),看是否有文件包含LDAP或Crowd认证凭据(比如crowd.properties和atlassian-user.xml文件),以及其他可能含有敏感信息的文件。如若发现含有认证凭据的敏感文件,建议对相关密码进行修改。
•参考链接
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
京公网安备11010802024551号