CVE-2019-3396

信息

Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki，帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。Confluence Widget Connector是 Confluence 的窗口小部件，使用Widget Connector 能将在线视频、幻灯片、图片等直接嵌入网页页面中。
Atlassian Confluence Server是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件，也可以用于构建企业WiKi。
该漏洞产生于服务器端模板的注入漏洞，主要存在于Confluence Server及Data Center的插件Widget Connector当中，存在漏洞的版本允许攻击者通过在插入文档与视频相关的内容时（/rest/tinymce/1/macro/preview）直接通过HTTP请求参数添加_template字段即可回显相关目录与文件信息，同时也可通过file:///等协议执行系统命令。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。

检测

pcre:"/POST\x20[\S]*?preview[\S\s]*?\x22params\x22\x3a\x7B\x22url\x22\x3a\x22[\S]*?\x22_template\x22\x3a\x22[\S]*?\x7D\x7d\x7d[\s\S]*?HTTP\/1\.1\x20200/i"
snort：
未发布，后期补充

PCAP：https://github.com/Fate9091/fate/blob/master/cve-2019-3396-pass.rar

参考

https://baijiahao.baidu.com/s?id=1630758116267158579&wfr=spider&for=pc
https://www.freebuf.com/vuls/200477.html
https://github.com/knownsec/pocsuite3/blob/master/pocsuite3/pocs/20190404_WEB_Confluence_path_traversal.py