This security advisory announces a vulnerability in the Confluence Mail Page plugin that may expose a Confluence site to XSS (cross-site scripting) attacks, if it is enabled (note, the Confluence Mail Page plugin is disabled by default). If you do not have this plugin enabled, your site will not be affected. However, we recommend that you still read the advisory below.

In this advisory:

Confluence メール ページ プラグインの XSS 脆弱性

深刻度

Atlassian rates this vulnerability as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank a vulnerability as critical, high, moderate or low.

Risk Assessment

公共の環境内の Confluence インスタンスに影響する可能性があるセキュリティの脆弱性を特定し、修正しました。この欠陥は、Confluence メール ページ プラグインを有効にしている場合に発生する可能性がある Cross-site Scripting (XSS) の脆弱性です。Confluence メール ページ プラグインは Confluence にバンドルされていますが、既定では無効になっています。

  • 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
  • 攻撃者のテキストとスクリプトが、Confluence ページを表示している他のユーザーに表示される可能性があります。これにより、貴社の評判が損なわれる可能性があります。

You can read more about XSS attacks at cgisecurity, CERT and other places on the web.

Vulnerability

An attacker can execute their own JavaScript when a user enters a custom URL into the browser address bar (e.g. the user clicks a crafted link in an email). The rogue JavaScript will be executed when the user invokes the URL. For more details, please refer to CONF-19802.

Risk Mitigation

We recommend installing the updated Confluence Mail Page plugin into your Confluence installation to fix this vulnerabilities. Please see the 'Fix' section below.

Alternatively, if you are not in a position to undertake this immediately and you judge it necessary, you can disable the Confluence Mail Page plugin (note, the plugin is disabled by default). You may also wish to disable public access (e.g. anonymous access and public signup) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.

修正

These issues have been fixed in the latest version (v1.10) of the Confluence Mail Page plugin, which you can download from the Atlassian Plugin Exchange. Installation instructions are available on the plugin documentation page.

Confluence メール ページ プラグインのバージョン 1.10 は、Confluence 3.2 でのみ動作することにご注意ください。更新されたプラグインをインストールする前に Confluence 3.2 にアップグレードする必要があります。

  • ラベルなし

Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.