• 阿里云河南授权服务中心--[ 阿里云精英级合作伙伴 ]
  • 阿里云河南授权服务中心电话 :0371-56982772

【漏洞预警】Confluence 目录遍历高危漏洞(CVE-2019-3396)
发布时间:2019-04-08 17:55

2019年4月04日,阿里云云盾应急响应中心监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越遍历甚至远程代码执行。


漏洞描述

Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,甚至实现远程代码执行攻击。近期有安全研究人员披露漏洞利用PoC,阿里云云盾应急响应中心提醒用户尽快升级相关软件。


漏洞评级

CVE-2019-3395 高危

CVE-2019-3396 高危


影响软件

Confluence Server

Confluence Data Center


安全版本

Version 6.6.12 and higher versions of 6.6.x

Version 6.12.3 and higher versions of 6.12.x

Version 6.13.3 and higher versions of 6.13.x

Version 6.14.2 and higher


安全建议

升级至安全版本。


云盾WAF已可防御此漏洞攻击

云盾网站威胁扫描系统已支持对该漏洞检测


相关资讯

售前咨询:

0371-56982772