Confluence 远程命令执行高危漏洞(CVE-2019-3396)

回复
雷雨
论坛版主
论坛版主
帖子: 440
注册时间: 周一 2月 13, 2017 11:34 am

Confluence 远程命令执行高危漏洞(CVE-2019-3396)

帖子 雷雨 » 周一 4月 15, 2019 6:40 pm

标题: Confluence 远程命令执行高危漏洞(CVE-2019-3396)
CVSS分值: 9.8

CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

披露时间: 2019-03-26

CVE ID: CVE-2019-3396

简介:
2019年4月04日,烈火科技监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越遍历甚至远程命令执行。

详情:
漏洞描述

Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,甚至实现远程命令执行攻击。近期有安全研究人员披露漏洞利用PoC,烈火科技云盾应急响应中心提醒用户尽快升级相关软件。

回复