股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
Atlassian Confluence 模板注入代码执行漏洞风险通告
发布时间 :2023年12月07日
类型 :勒索软件
分享:
近期,亚信安全CERT通过监控发现,Atlassian 公司发布了一则安全公告,针对 Confluence 数据中心和 Confluence 服务器存在的远程代码执行漏洞(CVE-2023-22522)进行了修复。该漏洞涉及 Confluence 页面中的模板注入问题,允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将不安全的用户输入注入到 Confluence 页面中。通过此漏洞,攻击者可在受影响的实例上实现远程代码执行。值得注意的是,如果您的 Confluence 站点是通过 atlassian.net 域访问的,则不会受到此问题的影响。
Confluence 作为一款专业的企业知识管理与协同软件,广泛用于构建企业 Wiki。其简单易用的特性以及强大的编辑和站点管理功能,有助于团队成员之间的信息共享、文档协作、集体讨论和信息推送。目前,全球范围内已有超过 75,000 家客户选择并使用该产品。
鉴于该安全漏洞的存在,厂商已迅速发布修复版本。亚信安全CERT强烈建议使用受影响版本的用户及时关注官方更新,并参照官方提供的修复方案迅速采取相关措施。为确保资产安全,建议用户进行资产自查和预防工作,以免遭受潜在的黑客攻击。
漏洞编号、等级和类型
CVE-2023-22522
高危
代码执行
漏洞状态
受影响版本
4.x.x <= Confluence Data Center and Server <= 7.x.x
8.0.x <= Confluence Data Center and Server <= 8.3.x
8.4.0 <= Confluence Data Center and Server <= 8.4.4
8.5.0 <= Confluence Data Center and Server <= 8.5.3
8.6.0 <= Confluence Data Center <= 8.6.1
修复建议
目前该漏洞已经修复,建议将受影响产品升级到最新版本或下面列出的固定版本之一:
Atlassian Confluence Data Center and Server 7.19.17 (LTS)
Atlassian Confluence Data Center and Server 8.4.5
Atlassian Confluence Data Center and Server 8.5.4(LTS)
Atlassian Confluence Data Center 8.6.2或最新
Atlassian Confluence Data Center 8.7.1或最新
参考链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22522
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html
分享到微信
X