Java开发网 |
注册 |
登录 |
帮助 |
搜索 |
排行榜 |
发帖统计
|
您没有登录 |
» Java开发网 » Java Security
打印话题 寄给朋友 订阅主题 |
作者 | Atlassian Confluence任意文件上传漏洞 |
阿熊
阿熊 元老 发贴: 5644 积分: 454 |
于 2013-07-24 10:28
影响系统 Atlassian Confluence 4.x 危害 远程攻击者利用漏洞上传恶意附件。 攻击所需条件 攻击者必须访问Atlassian Confluence。 漏洞信息 Atlassian Confluence(简称Confluence)是一个专业的wiki程序。它是一个知识管理的工具,通过它可以实现团队成员之间的协作和知识共享。 Atlassian Confluence存在两个输入验证漏洞,允许恶意用户利用漏洞绕过部分安全限制: -应用程序没有正确限制附件文件类型,允许攻击者利用漏洞上传包含任意脚本代码的SWF文件。 -应用程序在上传附件时没有正确校验文件类型,可绕过文件类型检查,添加包含任意脚本代码的HTML文件作为附件。 厂商解决方案 Atlassian Confluence 4.3.7已经修复此漏洞,建议用户下载更新: http://www.atlassian.com/en/software/confluence/whats-new/confluence-40 漏洞提供者 Andrew Horton, Sow Ching Shiong, and Mahendra, BAE Systems Detica 漏洞消息链接 http://www.secunia.com/advisories/54128/ http://www.baesystemsdetica.com.au/Research/Advisories/Atlassian-Confluence-Multiple-Vulnerabilities-%28DS |
话题树型展开 |
人气 | 标题 | 作者 | 字数 | 发贴时间 |
7337 | Atlassian Confluence任意文件上传漏洞 | 阿熊 | 710 | 2013-07-24 10:28 |
已读帖子 新的帖子 被删除的帖子 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |