美洲杯盘口

对于Atlassian Confluence Widget Connector具备目录穿梭、远程代码推广缝隙的保险携带通告

宣告时间:2019-04-11

保险携带通告编号:CNTA-2019-0012

2019年4月10日,国家音讯保险缝隙共享平台(CNVD)收录了Atlassian Confluence Widget Connector目录穿梭、远程代码推广缝隙(CNVD-2019-0817七、CNVD-2019-08178)。鞭策打击者操纵该缝隙,可在未授权的状况下实现目录穿梭及远程推广代码。当初,缝隙操纵情理已经公然,厂商已经宣告新版本修复此缝隙。

一、缝隙状况综合

Confluence是一个业余的企业知识管理与协同软件,可用于创建企业wiki。Confluence的编辑以及站点管理特色可能帮手团队成员之间共享音讯、文档协作、个人会商,音讯推送。Confluence运用于多方面技术钻研范畴,包罗IBM、Sun MicroSystems、SAP等浩繁有名企业运用Confluence来创建企业Wiki并面向群众-凋谢。 Confluence Widget Connector是 Confluence 的窗口小部件,运用Widget Connector 能将在线视频、幻灯片、图片等直接嵌中计页页面中。

2019年3月20日,Confluence民间宣告了版本更新音讯,修复了目录穿梭、远程代码推广缝隙。该缝隙发作于办事器端模板的注入缝隙,弛缓具备于Confluence Server及Data Center的插件Widget Connector之中,具备缝隙的版本准许鞭策打击者通过历程在插入文档与视频干系的内容时(/rest/tinymce/1/macro/preview)直接通过历程HTTP恳求参数平添_template字段就可回显干系目录与文件音讯,同时也可通过历程file:///等协议推广体系号令。鞭策打击者操纵该缝隙,可在未经授权的状况下,对于指标网站举行远程号令推广鞭策打击。

CNVD对于该缝隙的综合评级为“高危”。 

二、缝隙影响范畴

缝隙影响的产物版本包罗:

Atlassian Confluence Server 6.6.12及如下版本;

Atlassian Confluence Server 6.7.0-6.12.2版本;

Atlassian Confluence Server 6.13.3以前的整个6.13.x版本;

Atlassian Confluence Server 6.14.2以前的整个6.14.x版本。

CNVD秘书处对于Confluence的环球盘踞率举行了查询走访,成果表现环球Confluence体系数目约为61888,其中,8177个体系位于我国境内。

在党政构造、弛缓行业的音讯体系中,运用Confluence创建音讯共享wiki站点的比例很小,故影响较低。

三、缝隙从事发动

当初,Confluence民间已经宣告新版本修复此缝隙,CNVD发动用户即时晋级至最新版本:

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence


附:参考链接:

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence


探讨电话:010-62199788
公司地点:北京市昌平区七北路TBD云会合心(42号院)16号楼
Copyright 2015-2020 美洲杯盘口有限权利公司版权整个 All Rights Reserved 京ICP备13045911号

扫码体贴