Java开发网 Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 Atlassian Confluence任意文件上传漏洞
阿熊

阿熊

元老


发贴: 5644
积分: 454
于 2013-07-24 10:28 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
影响系统
Atlassian Confluence 4.x

危害
远程攻击者利用漏洞上传恶意附件。

攻击所需条件
攻击者必须访问Atlassian Confluence。

漏洞信息
Atlassian Confluence(简称Confluence)是一个专业的wiki程序。它是一个知识管理的工具,通过它可以实现团队成员之间的协作和知识共享。
Atlassian Confluence存在两个输入验证漏洞,允许恶意用户利用漏洞绕过部分安全限制:
-应用程序没有正确限制附件文件类型,允许攻击者利用漏洞上传包含任意脚本代码的SWF文件。
-应用程序在上传附件时没有正确校验文件类型,可绕过文件类型检查,添加包含任意脚本代码的HTML文件作为附件。

厂商解决方案
Atlassian Confluence 4.3.7已经修复此漏洞,建议用户下载更新:
http://www.atlassian.com/en/software/confluence/whats-new/confluence-40

漏洞提供者
Andrew Horton, Sow Ching Shiong, and Mahendra, BAE Systems Detica

漏洞消息链接
http://www.secunia.com/advisories/54128/
http://www.baesystemsdetica.com.au/Research/Advisories/Atlassian-Confluence-Multiple-Vulnerabilities-%28DS



话题树型展开
人气 标题 作者 字数 发贴时间
7389 Atlassian Confluence任意文件上传漏洞 阿熊 710 2013-07-24 10:28

flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1
客服电话 18559299278    客服信箱 714923@qq.com    客服QQ 714923