Atlassian中存在0day漏洞风险通告
发布时间 2019-12-06漏洞编号和级别
CVE编号:CVE-2019-15006,危险级别:高危,CVSS分值:官方未评定
影响版本
Atlassian Confluence server
漏洞概述
安全人员SwiftOnSecurity周二更新Twitter,无意中披露了一个影响企业软件业务Atlassian的零日漏洞,该漏洞可能在IBM的Aspera软件中得到体现。SwiftOnSecurity Twitter帐户显示,Atlassian提供了一个使用其Confluence云服务使用通用SSL证书解析到本地服务器的域,以使Atlassian Companion应用程序可以在首选本地应用程序中编辑文件并将文件保存回Confluence。任何具有足够技术知识的人都可以复制SSL密钥,然后使用它进行中间人攻击,这可能使攻击者将应用程序流量重定向到恶意站点。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商没有发布漏洞修复程序,请及时关注更新:https://confluence.atlassian.com/doc/administering-the-atlassian-companion-app-958456281.html。
参考链接
https://www.theregister.co.uk/2019/12/05/atlassian_zero_day_bug/
京公网安备11010802024551号