Atlassian公司的Confluence Server和Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞。攻击者可以利用该漏洞实现对目标系统进行路径遍历攻击、服务端请求伪造(SSRF)、远程代码执行(RCE)。
1、升级Confluence版本 2、主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
*本文作者:网藤风险感知