Confluence任意文件读取

最新推荐文章于 2024-06-24 09:39:04 发布
最新推荐文章于 2024-06-24 09:39:04 发布
阅读量1.9k 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_37216944/article/details/80535468
版权

影响系统

    Atlassian Confluence 4.x

危害

    远程攻击者利用漏洞上传恶意附件。

攻击所需条件

    攻击者必须访问Atlassian Confluence。

漏洞信息

    Atlassian Confluence(简称Confluence)是一个专业的wiki程序。它是一个知识管理的工具,通过它可以实现团队成员之间的协作和知识共享。
    Atlassian Confluence存在两个输入验证漏洞,允许恶意用户利用漏洞绕过部分安全限制:
    -应用程序没有正确限制附件文件类型,允许攻击者利用漏洞上传包含任意脚本代码的SWF文件。
    -应用程序在上传附件时没有正确校验文件类型,可绕过文件类型检查,添加包含任意脚本代码的HTML文件作为附件。

安全建议

    厂商解决方案
    Atlassian Confluence 4.3.7已经修复此漏洞,建议用户下载更新:
    http://www.atlassian.com/en/software/confluence/whats-new/confluence-40

参考链接:http://www.venustech.com.cn/NewsInfo/124/21874.Html

Shannonnnn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Atlassian Confluence 任意文件读取
HxXh
07-13 1760
Atlassian Confluence 任意文件读取Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。Atlassian Confluence 5.8.17之前版本中存在安全该漏洞源于spaces/viewdefaultdecorator.action和admin/vi...
Python-confluencedumper通过API能递归样的将Confluence空间和页页都导出
08-10
confluence-dumper-通过 API 能递归样的将 Confluence 空间和页页都导出
Confluence 文件读取漏洞复现(CVE-2019-3394)
黑白的博客
12-06 1547
声明 好好学习,天天向上 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统 Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取 /confluence/WEB-INF/ 目录下的任意文件。 该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如 LDAP 认证凭据或其他敏感信息。 影响范围 6.1.0 <= version < 6.6.16 6.7.0 &
掌握Confluence Wiki的利器:Confluence.py
最新发布
gitblog_00062的博客
06-24 247
掌握Confluence Wiki的利器:Confluence.py 项目地址:https://gitcode.com/RaymiiOrg/confluence-python-cli 在这个数字化的时代,知识管理和团队协作变得越来越重要,Atlassian的Confluence Wiki正是其中的一款优秀工具。而今天,我们要向您推荐一个能够通过命令行接口(CLI)操作Confluence Wiki...
漏洞复现|(CVE-2019-3396)Confluence文件读取&远程命令执行
weixin_42282189的博客
10-22 1149
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 1、漏洞简介 Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,进而可以包含恶意文件来执行代码.
CVE-2019-3396:Confluence 文件读取漏洞复现
nex1less的博客
11-26 4518
0x01 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 0x02 漏洞环境 1.根据我过往博客安装vulhub 2.cd 到指定目录: cd vulhub/confluence/CVE-2019-3396 ...
markdown到confluence:将Markdown文件同步到Confluence
02-04
将Markdown文件转换并部署到Confluence。 创建此项目是为了在CI流程中将帖子同步到Confluence。 但是,它能够更一般地处理在顶部具有最高优先级的Markdown文件,例如在Hugo,Jeykll等中使用的文件。 安装 要安装...
confluence 6.6 破解文件
01-03
confluence 6.6 破解, 同样适用于之前的老版本,原则上之后的版本应该也是可以的。因为文件名jar包没变
mark:将Markdown文件Confluence页面同步
02-03
Mark会读取您的markdown文件,如果没有按名称创建Confluence页面,则上传附件,将Markdown转换为HTML并通过REST API更新页面内容。 就像您甚至不需要在Confluence中创建部分/页面一样,只需在Markdown文档中使用...
Confluence 文件列表(File List)蓝图 - CWIKIOSSEZ
03-17
值得注意的是,可以创建任意数量的文件列表页面,以满足不同场景下的需求。 - **步骤一:** 新建文件列表页面。可以通过“新建”菜单中的“文件列表”选项直接创建。 - **步骤二:** 将文件或附件拖放到页面中。...
confluence5.x 破解文件
11-09
confluence5.x 破解文件,需要才下载不需要就算了 按需分配
Confluence 文件读取漏洞(CVE-2019-3394)分析
chr8230401的博客
09-03 579
作者: Badcode@知道创宇404实验室 日期: 2019/08/29 英文版本: https://paper.seebug.org/1026/ 前言 下午 @fnmsd 师傅发了个 Confluence 的预警给我,我看了下补丁,复现了这个漏洞,本篇文章记录下这个漏洞的应急过程。 看下...
confluence7安全补丁_Confluence 文件读取漏洞(CVE-2019-3394)分析
weixin_34984235的博客
02-15 812
作者: Badcode@知道创宇404实验室日期: 2019/08/29前言下午 @fnmsd 师傅发了个Confluence的预警给我,我看了下补丁,复现了这个漏洞,本篇文章记录下这个漏洞的应急过程。看下描述,Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取/confluence/WEB-INF/...
Atlassian Confluence任意文件读取漏洞
weixin_30877493的博客
05-03 395
Atlassian Confluence Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。 漏洞简介 漏洞名称:任意文件读取 漏洞类型:WEB类型漏洞 影响版本:小于或等于5.8.17版本 漏洞评级:高危 漏洞详情 漏洞请求: https://hostdomai...
confluence 迁移文档
weixin_45941817的博客
01-06 313
【代码】confluence 迁移文档。
jira rest api写代码,获得Confluence网页的内容
weixin_42599908的博客
02-16 316
要通过Jira REST API编写代码获取Confluence网页的内容,需要进行以下步骤: 获取Confluence页面的ID:可以手动从Confluence页面的URL中获取页面的ID,也可以使用Confluence REST API搜索页面并获取页面ID。 使用Jira REST API中的HTTP请求方法之一(如GET、POST等)访问Confluence REST API中的页面内...
如何使用python在confluence网页中提取指定内容
weixin_42584586的博客
02-16 827
要使用Python从Confluence网页中提取指定内容,您可以使用Python中的requests和BeautifulSoup库。以下是一些大致的步骤: 导入requests和BeautifulSoup库。 使用requests库中的get()函数获取Confluence网页的HTML源代码。 使用BeautifulSoup库解析HTML源代码。 使用BeautifulSoup库中的find...
confluence api 写代码,获取某页面上的内容
weixin_42584586的博客
02-15 547
要使用Confluence API获取某个页面的内容,可以按照以下步骤: 首先,需要获取到该页面的ID或者URL。可以通过Confluence页面上的地址栏中的URL或者通过Confluence的页面API进行获取。 使用Confluence API中的页面内容API来获取该页面的内容。具体来说,可以使用GET请求访问该API,并将页面的ID或URL作为参数传递给API。例如: GET /...
关于Confluence的解析与思考
weixin_30940783的博客
08-09 209
Confluence是一个专业的企业知识管理与协同软件,一个专业的wiki,通过它可以实现团队成员之间的写作和知识共享。 一、 Confluence开放API接口,比较灵活扩展和集成:强大的插件系统以及N多强大的插件如Gliffy,插件可以根据需要安装、卸载、启用、禁用,能与事务管理系统JIRA完美集成,也能与SharePoint、Lotus等系统很好的集成。 二、 支持p...
sketch 将动图转换为json_Sketch导入、导出使用方法和技巧介绍
weixin_39517202的博客
12-02 1209
Sketch 55 for mac是应用在Mac上的矢量绘图软件,Sketch Mac版以简约的设计是基于无限的规模和层次的绘图空间,调色板,面板,菜单,窗口和控件,虽然使用简单,它提供了功能强大的矢量绘图和文字工具。让您凭借强大的功能,直观的界面和广阔的插件生态系统,Sketch可以让您创建最佳作品 - 从最早的想法到最终的设计。此次小编带大家来具体看看sketch如何导入和导出!最新版Sket...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值