【安全预警】Confluence 本地文件泄露漏洞通知
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到 Confluence 官方发布安全公告,披露了 Confluence Server 和 Confluence Data Center 产品在页面导出功能中存在本地文件泄露漏洞,攻击者可利用该漏洞获取服务器敏感信息。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Confluence Server 和 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞。如果攻击者具备“添加页面”权限将能够远程读取 <install-directory>/confluence/WEB-INF 目录中的任意文件。
由于该目录可能包含用于与其他服务集成的配置文件(例如 LDAP 凭据)因此存在敏感信息泄露风险。
【风险等级】
高风险
【漏洞风险】
敏感信息泄露
【影响版本】
目前已知受影响组件如下:
Confluence Server
Confluence Data Center
目前已知受影响版本如下:
6.1.0 <= version < 6.6.16
6.7.0 <= version < 6.13.7
6.14.0 <= version < 6.15.8
【安全版本】
6.6.16 版本
6.13.7 版本
6.15.8 版本
【修复建议】
升级您的 Confluence Server 或 Confluence Data Center 到上述【安全版本】。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
【漏洞参考】