intro

漏洞分析见seebug

Confluence 未授权 RCE 分析(CVE-2019-3396)

poc

Confluence 未授权 RCE (CVE-2019-3396) 漏洞

安装ftp模块写错了(注意一下就好)

pip install pyftpdlib

Temporary fix

因为我没有服务器权限,又不想通过反弹shell去修复该漏洞.

使用管理员权限登录,在后台中找到插件管理,搜索Widget Connector 禁用

imgs

Permanent fix

1.升级至安全版本

https://www.atlassian.com/software/confluence/download/
https://atlassian.com/software/confluence/download/data-center

2.升级Widget Connector 组件

升级Widget Connector 组件。

Linux系统运行如下命令查找widgetconnector-*.jar文件所在位置:

find / -name "widgetconnector-*"

下载最新版本的widgetconnector-3.1.4.jar替换,并重启Confluence应用

reference

漏洞预警 Confluence 远程命令执行高危漏洞(CVE-2019-3396)

652 对 “CVE-2019-3396 Confluence Unauthorized RCE”的想法;