Topic: Atlassian Confluence任意文件上传漏洞 |
 Print this page
|
| 1.Atlassian Confluence任意文件上传漏洞 | Copy to clipboard |
|
Posted by: 阿熊 Posted on: 2013-07-24 10:28 影响系统 Atlassian Confluence 4.x 危害 远程攻击者利用漏洞上传恶意附件。 攻击所需条件 攻击者必须访问Atlassian Confluence。 漏洞信息 Atlassian Confluence(简称Confluence)是一个专业的wiki程序。它是一个知识管理的工具,通过它可以实现团队成员之间的协作和知识共享。 Atlassian Confluence存在两个输入验证漏洞,允许恶意用户利用漏洞绕过部分安全限制: -应用程序没有正确限制附件文件类型,允许攻击者利用漏洞上传包含任意脚本代码的SWF文件。 -应用程序在上传附件时没有正确校验文件类型,可绕过文件类型检查,添加包含任意脚本代码的HTML文件作为附件。 厂商解决方案 Atlassian Confluence 4.3.7已经修复此漏洞,建议用户下载更新: http://www.atlassian.com/en/software/confluence/whats-new/confluence-40 漏洞提供者 Andrew Horton, Sow Ching Shiong, and Mahendra, BAE Systems Detica 漏洞消息链接 http://www.secunia.com/advisories/54128/ http://www.baesystemsdetica.com.au/Research/Advisories/Atlassian-Confluence-Multiple-Vulnerabilities-%28DS | |
 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |