Confluence公布两个严重安全漏洞

Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

Confluence 已经在超过100个国家,13500个组织中成功地应用于企业内网平台、知识管理及文档管理,涉及财富1000企业、政府机构、教育机构、财务金融机构及技术研究领域。包括IBM、Sun MicroSystems、SAP等众多知名企业使用Confluence来构建企业Wiki并面向公众开放。

2019年3月20日Confluence公布了Confluence Server和Confluence数据中心中的两个危害严重性安全漏洞。

WebDAV漏洞 – CVE-2019-3395

2018年6月18日之前发布的Confluence Server和Data Center版本容易受到此问题的影响。远程攻击者能够利用WebDAV插件中的服务器端请求伪造(SSRF)漏洞从Confluence Server或数据中心实例发送任意HTTP和WebDAV请求。

影响版本6.6.7之前的所有版本的Confluence Server和Confluence数据中心,6.8.5之前的版本6.7.0(6.8.x的固定版本),6.9.3之前的6.9.0版本(6.9的固定版本)。 X)。 

窗口小部件连接器漏洞 – CVE-2019-3396

Widget连接器中的Confluence Server和Data Center中存在服务器端模板注入漏洞。攻击者能够利用此问题在运行易受攻击的Confluence Server或数据中心版本的系统上实现服务器端模板注入,路径遍历和远程代码执行。

影响版本6.6.12之前的所有版本的Confluence Server和Confluence数据中心,6.12.3之前的版本6.7.0(6.12.x的固定版本),6.13.3之前的版本6.13.0(6.13的固定版本)。 x)和6.14.2之前的版本6.14.0(6.14.x的固定版本)。 

可用poc脚本验证测试

poc:https://github.com/knownsec/pocsuite3/blob/master/pocsuite3/pocs/20190404_WEB_Confluence_path_traversal.py

建议:

官方发布了包含针对这些问题的修复程序的Confluence Server和数据中心版本6.15.1,可以从https://www.atlassian.com/software/confluence/download/  和  https://atlassian.com/software/confluence下载

官方发布Confluence Server和数据中心版本6.6.12,6.12.3,6.13.3和6.14.2,其中包含针对这些问题的修复程序,可以从https://www.atlassian.com/software/confluence/download-下载

如果您无法立即升级Confluence,可以使用临时解决方法,您可以转到设置 >  管理应用程序/加载项  选择系统,并在Confluence中禁用以下系统插件:

  • WebDAV插件
  • 小部件连接器

如果禁用Widget Connector插件,则Widget Connector宏将不可用。此宏用于显示来自YouTube,Vimeo和Twitter等网站的内容。用户将看到“未知宏”错误。 

如果禁用WebDAV插件,则无法使用WebDAV客户端连接到Confluence 。禁用此插件还将自动禁用Office Connector插件,这意味着Office Connector功能(如从Word导入和office中编辑)将不可用。请注意,因为不需要WebDAV来编辑 Confluence 6.11及更高版本中的文件,您仍然可以编辑这些版本中的文件。 

升级后,您需要手动重新启用:

  • WebDAV插件
  • 小部件连接器
  • Office连接器。