普洱IT网，您身边的IT小顾问！

北京网络与信息安全信息通报中心通报，近日，国家信息安全漏洞共享平台（CNVD）收录了Atlassian Confluence Widget Connector目录穿越、远程代码执行漏洞，上述漏洞定级为高危漏洞。攻击者利用该漏洞，可在未授权的情况下实现目录穿越及远程执行代码。

       Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki，帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。Confluence Widget Connector是 Confluence 的窗口小部件，使用Widget Connector 能将在线视频、幻灯片、图片等直接嵌入网页页面中。

         一、漏洞基本情况

        该漏洞产生于服务器端模板的注入漏洞，主要存在于Confluence Server及Data Center的插件Widget Connector当中，存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时（/rest/tinymce/1/macro/preview）直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息，同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。

        二、影响范围

        Atlassian Confluence Server 6.6.12及以下版本；

        Atlassian Confluence Server 6.7.0-6.12.2版本；

        Atlassian Confluence Server 6.13.3之前的所有6.13.x版本；

        Atlassian Confluence Server 6.14.2之前的所有6.14.x版本。 

        三、普洱IT网网络安全工作提示

        针对该情况，普洱IT网建议请及时开展以下几方面的工作：

        1.及时更新升级。Confluence官方已发布了版本更新信息，修复了目录穿越、远程代码执行漏洞，请及时前往官方网站下载更新；

        2.开展自查及备份。及时进行问题清零，对重要的数据、文件进行定期备份；

        3.加强监测和应急处置。进一步完善网络与信息系统突发事件应急预案，确保突发事件应急响应及时、规范、有效。突出情况及时向属地公安机关网安部门报告。