kpl外围

关于Atlassian Confluence Widget Connector存在目录穿越、远程代码执行漏洞的安全公告

安全公告编号:CNTA-2019-0012
        2019年4月10日,国家信息安全漏洞共享平台(CNVD)收录了Atlassian Confluence Widget Connector目录穿越、远程代码执行漏洞(CNVD-2019-08177、CNVD-2019-08178)。攻击者利用该漏洞,可在未授权的情况下实现目录穿越及远程执行代码。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。
        一、漏洞情况分析
Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。Confluence的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence应用于多方面技术研究领域,包括IBM、Sun MicroSystems、SAP等众多知名企业使用Confluence来构建企业Wiki并面向公众开放。 Confluence Widget Connector是 Confluence 的窗口小部件,使用Widget Connector 能将在线视频、幻灯片、图片等直接嵌入网页页面中。
        2019年3月20日,Confluence官方发布了版本更新信息,修复了目录穿越、远程代码执行漏洞。该漏洞产生于kpl外围器端模板的注入漏洞,主要存在于Confluence Server及Data Center的插件Widget Connector当中,存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时(/rest/tinymce/1/macro/preview)直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息,同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。
CNVD对该漏洞的综合评级为“高危”。
        二、漏洞影响范围
        漏洞影响的产品版本包括:
        Atlassian Confluence Server 6.6.12及以下版本;
        Atlassian Confluence Server 6.7.0-6.12.2版本;
        Atlassian Confluence Server 6.13.3之前的所有6.13.x版本;
        Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。
        CNVD秘书处对Confluence的全球占有率进行了调查,结果显示全球Confluence系统数量约为61888,其中,8177个系统位于kpl外围国境内。
        在党政机关、重要行业的信息系统中,使用Confluence建立信息共享wiki站点的比例很小,故影响较低。
        三、漏洞处置建议
        目前,Confluence官方已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本;
        http://www.atlassian.com/software/confluence/download/
        http://atlassian.com/software/confluence


kpl外围 体育平台_体育平台app-官方推荐 365体育投注_365体育投注首页_【官网首页】 贝博官网官方网站_贝博体育app网址