このセキュリティ アドバイザリーはアトラシアンによって承認されていません。これは、Confluence コミュニティのメンバーによる公共サービス アドバイザリーです。変更されたファイルは必ずバックアップして、これらの手順は自己責任で行ってください。この情報は Confluence v2.1.2 に基づいているため、影響を受ける古いバージョンの Confluence で使用されている可能性があります。

The official security advisory is located at Confluence Security Advisory 2006-01-20

 

問題

氏名のユーザー プロファイル フィールドを表示すると、XSS の悪用が発生する可能性があります。

ソリューション

問題は氏名の出力がエスケープされないことでした。出力を $generalUtil.htmlEncode() にラッピングすることによって解決します。問題の大部分は、ディストリビューションの /confluence/template/includes/macros.vm で次の行を変更することによって解決します。

  • 180
  • 186
  • 200
  • 340
  • 893

I have attached the modified macros.vm file here which you can copy into your distribution.

範囲

影響を受けることをアトラシアンが認識している場所は他にもありますが、独自の公式アドバイザリーでアトラシアンによって完全な解決策が提供される必要があります。

お役立ていただければ幸いです。

Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.