atlassian-confluence 信息泄露 (CVE-2015-8399)
| ID: | 16735 |
|---|---|
| 标题: | atlassian-confluence 信息泄露 (CVE-2015-8399) |
| 描述: | atlassian-confluence 信息泄露 (CVE-2015-8399) vulfocus/atlassian_confluence-cve_2015_8399:latest Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。 Atlassian Confluence 5.8.17之前版本中存在安全,该漏洞源于spaces/viewdefaultdecorator.action和admin/viewdefaultdecorator.action文件没有充分过滤‘decoratorName’参数。远程攻击者可利用该漏洞读取配置文件。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | Atlassian Confluence 5.8.17 之前版本存在 CVE-2015-8399 信息泄露漏洞,攻击者可通过 /spaces/viewdefaultdecorator.action 或 /admin/viewdefaultdecorator.action 接口的 decoratorName 参数读取配置文件。利用示例:http://<Confluence Server>/spaces/viewdefaultdecorator.action?decoratorName=/WEB-INF/web.xml 可读取 web.xml 配置文件内容 1。 |
| writeup: | https://www.cnblogs.com/NoId/p/16573825.html |