讨厌的小部件构成关键风险
敦促企业在Atlassian的内容协作工具Confluence Server中修补一个新发现的漏洞,该工具构成了远程代码执行(RCE)风险。
尚未解决,该错误为黑客创造了一种手段路径遍历和RCE通过A Confluence服务器上的RCE服务器端模板注入开发。
基于云的技术实例同样容易受到缺陷的影响,这值得CVSS得分9.8 - 接近10的最大值10。
这些错误源于Atlassian Confluence Server中的小部件连接器宏中的编码缺陷。
小部件连接器漏洞(CVE-2019-3396)构成各种风险,包括但不限于未经授权的信息披露,未经授权的修改和服务中断。
相关的服务器端请求伪造(SSRF)WebDav插件中的漏洞(beplay体育能用吗CVE-2019-3395)为黑客创建一种机制,可以从未拨打的Confluence Server或Data Center实例中发送任意HTTP和Webeplay体育能用吗bDAV请求。
Confluence是由Java编写的合作服务器软件包,由澳大利亚的Atlassian开发。一个安全咨询该公司解释了未援引系统上的小部件连接器漏洞的范围。
“攻击者能够利用此问题来实现服务器端模板注入(SSTI),路径遍历和远程代码在运行Confluence Server或Data Center的系统上执行。”
Confluence Server和Confluence数据中心的受影响版本是6.6.12版本之前,从6.12.3之前的6.7.0版本(6.12.x的固定版本),从6.13.3之前的6.13.0版本(6.13的固定版本).x),以及6.14.2之前的6.14.0版(6.14.x的固定版本)。
借助Daniil Dmitriev发现了小部件连接器错误,而WebDav漏洞是由AssetNote的Shubham Shah和Devcore的Orange Tsai发beplay体育能用吗现的。
已知404团队已发布视频展示窗口连接器脆弱性的概念证明纸在安全漏洞上。
Atlassian告诉每日swbeplay2018官网ig据该公司所知,其其他产品都没有受到最近的安全问题的影响。尽管如此,它仍计划根据漏洞更新其内部安全流程。
一位发言人解释说:“作为每份报告的一部分,我们会回顾围绕代码的类似模式,以主动识别和修复相关问题(如果我们找到它们)。”
“所有安全问题都通过我们的标准脆弱性管理流程,其中包括(在许多方面),定期审查我们如何系统地消除类别的漏洞。”
