Atlassian Confluence正式发布安全通知,以修复Confluence中存在的本地文件泄露漏洞(CVE-2019-3394)。 漏洞级别很严重。 Atlassian Confluence Server和Atlassian Data Center是Atlassian Corp.的产品。Atlassian Confluence Server是一个专业的企业知识管理和协作软件,也可用于构建企业WiKi。 Atlassian数据中心是一个数据中心系统。
Confluence Server和Data Center在页面导出功能中存在本地文件泄漏漏洞。 “具有添加页面空间权限的远程攻击者将能够读取<install-directory>/confluence/WEB-INF目录中的任意文件,该目录可能包含用于与其他服务集成的配置文件,可能泄露凭据,例如 LDAP凭据或其他敏感信息。 如果在atlassian-user.xml文件中指定了LDAP凭据,则存在泄漏LDAP凭据的可能性,该文件是配置LDAP集成的一种不推荐的方法。
受影响的版本
- All 6.1.x versions
- All 6.2.x versions
- All 6.3.x versions
- All 6.4.x versions
- All 6.5.x versions
- All 6.6.x versions 在6.6.16之前(6.6.x的固定版本)
- All 6.7.x versions
- All 6.8.x versions
- All 6.9.x versions
- All 6.10.x versions
- All 6.11.x versions
- All 6.12.x versions
- All 6.13.x versions 在6.13.7之前(6.13.x的固定版本)
- All 6.14.x versions
- All 6.15.x versions 在6.15.8之前(6.15.x的固定版本)
解决方法
使用Confluence的用户可以通过将Confluence Server或Confluence数据中心更新到版本6.6.16,6.13.3或6.15.8来修复此漏洞。