CVE-2019-3396 Confluence Unauthorized RCE
intro
漏洞分析见seebug
Confluence 未授权 RCE 分析(CVE-2019-3396)
poc
Confluence 未授权 RCE (CVE-2019-3396) 漏洞
安装ftp模块写错了(注意一下就好)
pip install pyftpdlib
Temporary fix
因为我没有服务器权限,又不想通过反弹shell去修复该漏洞.
使用管理员权限登录,在后台中找到插件管理,搜索Widget Connector 禁用

Permanent fix
1.升级至安全版本
2.升级Widget Connector 组件
升级Widget Connector 组件。
Linux系统运行如下命令查找widgetconnector-*.jar文件所在位置:
find / -name "widgetconnector-*"
下载最新版本的widgetconnector-3.1.4.jar替换,并重启Confluence应用