2019年4月17日Confluence官方发布安全公告,Confluence Server和Data Center产品在downloadallattachments资源中存在一个路径穿越漏洞。有权向页面和(或)博客添加附件,或创建新空间或个人空间,或者对空间具有“管理员”权限的远程攻击者可以利用此漏洞将文件写入任意位置,最终导致远程代码执行。
Confluence官方将此漏洞评价为严重级别,360CERT判断此漏洞影响范围广泛,建议广大用户及时更新Confluence Server或Data Center,以免遭受黑客攻击。
影响产品:
影响版本:
2019-04-17 Confluence官方发布安全公告
2019-04-18 360CERT发布预警