亲爱的金山云用户：

      您好！ 2019 年04月08日，金山云安全应急响应中心收到关于Confluence Server和Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞的风险预警。详情如下：

漏洞编号: CVE-2019-3396

漏洞名称: Confluence Server  远程代码执行漏洞

漏洞危害等级: 高危

漏洞描述: 攻击者可以通过构造恶意的 HTTP 请求参数，对目标系统实施（路径遍历、任意文件读取以及远程命令执行）攻击。该类攻击可导致目标系统中的敏感信息被泄露，以及执行攻击者构造的恶意代码。近日已有安全人员将漏洞的利用 POC 公开，金山云安全应急响应中心建议用户尽快升级至安全版本。

影响版本：

     产品

Confluence Server

Confluence Data Center

版本

所有1.xx，2.xx，3.xx，4.xx和5.xx版本

所有6.0.x，6.1.x，6.2.x，6.3.x，6.4.x和6.5.x版本

6.6.12之前的所有6.6.x版本

所有6.7.x，6.8.x，6.9.x，6.10.x和6.11.x版本

6.12.3之前的所有6.12.x版本

6.13.3之前的所有6.13.x版本

6.14.2之前的所有6.14.x版本

组件

widgetconnector<=3.1.3

修复方案： 进行升级

版本6.6.12及更高版本的6.6.x.

版本6.12.3及更高版本的6.12.x

版本6.13.3及更高版本的6.13.x

版本6.14.2及更高版本

参考链接：

      https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html

北京金山云网络技术有限公司

2019/04/08