(CVE-2019-3396) 漏洞分析

华盟原创文章投稿奖励计划

官方发布了预警,于是开始了漏洞应急。漏洞描述中指出Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。
Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
确认漏洞点是Widget Connector,下载最新版的比对补丁,发现在comatlassianconfluenceextrawidgetconnectorWidgetMacro.java里面多了一个过滤,这个应该就是这个漏洞最关键的地方。

Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析

www.idc126.com

具体分析和解决方法可以点击消息来源进行查看。

本原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/kx/234035.html