# CVE-2019-3396 - Confluence Server SSTI: RCE via Widget Connector > [!high] CVE-2019-3396 é uma Server-Side Template Injection crítica no Confluence Server — permite execução remota de código sem autenticação via Widget Connector, explorada amplamente por grupos APT para comprometimento de wikis corporativos e governamentais. ## Visão Geral CVE-2019-3396 é uma vulnerabilidade de **Server-Side Template Injection (SSTI)** no componente **Widget Connector** do **Atlassian Confluence Server e Data Center**. A falha permite que um atacante não autenticado injete templates Velocity maliciosos que são executados no servidor, resultando em execução remota de código com os privilégios do processo Confluence. O Confluence é amplamente utilizado como wiki corporativo e base de conhecimento em organizações de todos os portes. A plataforma frequentemente contém informações altamente sensíveis — documentação técnica, credenciais armazenadas, planos de negócios e dados de clientes — tornando seu comprometimento particularmente valioso para atacantes. A vulnerabilidade foi imediatamente incorporada em frameworks de ataque e explorada ativamente por múltiplos grupos APT, incluindo o **Volatile Cedar** (nexo libanês) e grupos de ransomware. O Confluence é popular em empresas de tecnologia brasileiras e startups, especialmente instâncias on-premises em ambientes legados. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | SSTI via Velocity template engine | | Componente | Widget Connector (`/_api/rest/shortcuts`) | | Autenticação | Não requerida | | Contexto | Usuário do serviço Confluence | | PoC público | Amplamente disponível | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do Confluence exposto - [[t1505-003-web-shell|T1505.003]] - Web shell implantada pós-exploit - [[t1552-unsecured-credentials|T1552]] - Extração de credenciais do Confluence - [[m1051-update-software|M1051]] - Manter Confluence atualizado ## Contexto LATAM > [!latam] Instâncias Confluence on-premises desatualizadas são comuns em startups e empresas de tecnologia brasileiras. Pesquisadores identificaram servidores Confluence vulneráveis a CVE-2019-3396 em domínios `.com.br` anos após a divulgação, demonstrando o gap de patch management nas organizações da região. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar Confluence para versões patched (6.6.12+, 6.12.3+, 6.13.3+, 6.14.2+) - Restringir acesso ao Confluence a redes internas via VPN - Monitorar logs do Confluence por requisições ao endpoint `/_api/rest/shortcuts` - Implementar WAF com regras para SSTI em parâmetros de template ## Referências - [Atlassian Security Advisory 2019-03-20](https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html) - [CISA Alert — Confluence Exploitation](https://www.cisa.gov/news-events/alerts/2021/09/03/apache-confluence-rce-vulnerability-actively-exploited) - [Rapid7 — Confluence Widget Connector SSTI](https://www.rapid7.com/db/modules/exploit/multi/http/confluence_widget_connector_macro_velocity_ssti_rce/)