關(guān)于Atlassian Confluence Widget Connector存在目錄穿越、遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

安全公告編號(hào):CNTA-2019-0012

2019年4月10日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Atlassian Confluence Widget Connector目錄穿越、遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2019-08177、CNVD-2019-08178）。攻擊者利用該漏洞，可在未授權(quán)的情況下實(shí)現(xiàn)目錄穿越及遠(yuǎn)程執(zhí)行代碼。目前，漏洞利用原理已公開(kāi)，廠商已發(fā)布新版本修復(fù)此漏洞。

一、漏洞情況分析

Confluence是一個(gè)專(zhuān)業(yè)的企業(yè)知識(shí)管理與協(xié)同軟件，可用于構(gòu)建企業(yè)wiki。Confluence的編輯和站點(diǎn)管理特征能夠幫助團(tuán)隊(duì)成員之間共享信息、文檔協(xié)作、集體討論，信息推送。Confluence應(yīng)用于多方面技術(shù)研究領(lǐng)域，包括IBM、Sun MicroSystems、SAP等眾多知名企業(yè)使用Confluence來(lái)構(gòu)建企業(yè)Wiki并面向公眾開(kāi)放。 Confluence Widget Connector是 Confluence 的窗口小部件，使用Widget Connector 能將在線(xiàn)視頻、幻燈片、圖片等直接嵌入網(wǎng)頁(yè)頁(yè)面中。

2019年3月20日，Confluence官方發(fā)布了版本更新信息，修復(fù)了目錄穿越、遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞產(chǎn)生于服務(wù)器端模板的注入漏洞，主要存在于Confluence Server及Data Center的插件Widget Connector當(dāng)中，存在漏洞的版本允許攻擊者通過(guò)在插入文檔與視頻相關(guān)的內(nèi)容時(shí)（/rest/tinymce/1/macro/preview）直接通過(guò)HTTP請(qǐng)求參數(shù)添加_template字段即可回顯相關(guān)目錄與文件信息，同時(shí)也可通過(guò)file:///等協(xié)議執(zhí)行系統(tǒng)命令。攻擊者利用該漏洞，可在未經(jīng)授權(quán)的情況下，對(duì)目標(biāo)網(wǎng)站進(jìn)行遠(yuǎn)程命令執(zhí)行攻擊。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。 

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

Atlassian Confluence Server 6.6.12及以下版本；

Atlassian Confluence Server 6.7.0-6.12.2版本；

Atlassian Confluence Server 6.13.3之前的所有6.13.x版本；

Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。

CNVD秘書(shū)處對(duì)Confluence的全球占有率進(jìn)行了調(diào)查，結(jié)果顯示全球Confluence系統(tǒng)數(shù)量約為61888，其中，8177個(gè)系統(tǒng)位于我國(guó)境內(nèi)。

在黨政機(jī)關(guān)、重要行業(yè)的信息系統(tǒng)中，使用Confluence建立信息共享wiki站點(diǎn)的比例很小，故影響較低。

三、漏洞處置建議

目前，Confluence官方已發(fā)布新版本修復(fù)此漏洞，CNVD建議用戶(hù)立即升級(jí)至最新版本：

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence

附：參考鏈接：

https://www.atlassian.com/software/confluence/download/

https://atlassian.com/software/confluence