漏洞情报 | Atlassian Confluence Server 任意文件读取漏洞

0x01 漏洞描述

Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能，并支持用于构建企业WiKi的协同软件的服务器版本。

360漏洞云监测到Atlassian Confluence Server存在任意文件读取漏洞（CVE-2021-26085）。该漏洞源于/s/端点的预授权任意文件读取问题，远程攻击者可利用该漏洞查看受限资源。

0x02 危害等级

中危：5.3

0x03 影响版本

Confluence < 7.4.10

7.5.0 <= Confluence < 7.12.3

0x04 修复版本

Confluence 7.4.10

Confluence 7.12.3

Confluence 7.13.0

Confluence 7.14.0  

0x05 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。