0x00 漏洞背景
Confluence是澳大利Atlassian公司推出的知名团队协作工具。
2019年3月20日Confluence官方发布安全公告,在Confluence Server和Data Center产品中存在服务端模版注入漏洞。未授权的攻击者可以利用此漏洞进行服务端模版注入,路径遍历和远程代码执行。
0x01 影响范围
影响产品:
- Confluence Server
- Confluence Data Center
影响版本:
- 6.6.12版本之前所有版本
- 6.7.0-6.12.2版本
- 6.13.3之前的所有6.13.x版本
- 6.14.2之前的所有6.14.x版本
影响组件:
- Widget Connector <=3.1.3
0x02 漏洞验证
远程代码执行:
0x03 修复建议
将Confluence Server及Data Center升级到6.15.1版本,或:
- 版本<6.6.12,将Confluence升级到6.6.12版本
- 6.7.0-6.12.2版本的,将Confluence升级到6.12.3版本
- 6.13.3之前的所有6.13.x版本的,将Confluence升级到6.13.3版本
- 6.14.2之前的所有6.14.x版本的,将Confluence升级到6.14.2版本
0x04 时间线
2019-03-20 Confluence官方发布安全公告
2019-04-09 360cert进行漏洞预警