服务公告

全部公告 > 安全公告 > Atlassian Confluence 模板注入代码执行漏洞预警(CVE-2023-22522)

Atlassian Confluence 模板注入代码执行漏洞预警(CVE-2023-22522)

2023-12-07

一、概要

近日,Atlassian官方发布安全公告,披露旗下产品Confluence Server、Confluence Data Center特定版本中存在一处严重级别的模板注入代码执行漏洞(CVE-2023-22522)。经过身份验证的攻击者(包括具有匿名访问权限的攻击者)可通过将不安全的用户输入注入 Confluence 页面触发漏洞,成功利用该漏洞可造成在受影响的服务器上实现远程代码执行。

Atlassian Confluence Data Center & Server 是Atlassian 公司提供的一款专业的企业知识管理与协同软件,可用于构建企业wiki。华为云提醒使用Atlassian Confluence Data Center & Server的用户及时安排自检并做好安全加固。

参考链接:

https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

https://jira.atlassian.com/browse/CONFSERVER-93502

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急) 

三、漏洞影响范围

影响版本:

Confluence Data Center and Server 4.x.x

Confluence Data Center and Server 5.x.x

Confluence Data Center and Server 6.x.x

Confluence Data Center and Server 7.x.x

Confluence Data Center and Server 8.0.x

Confluence Data Center and Server 8.1.x

Confluence Data Center and Server 8.2.x

Confluence Data Center and Server 8.3.x

8.4.0 <= Confluence Data Center and Server <= 8.4.4

8.5.0 <= Confluence Data Center and Server <= 8.5.3

8.6.0 <= Confluence Data Center <= 8.6.1

安全版本:

Confluence Data Center and Server 7.19.17 (LTS)

Confluence Data Center and Server 8.4.5

Confluence Data Center and Server 8.5.4 (LTS)

Confluence Data Center >= 8.6.2

Confluence Data Center >= 8.7.1

四、漏洞处置

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

https://www.atlassian.com/software/confluence/download-archives

若无法及时升级,可根据Atlassian官方提供的建议进行缓解:

1、参考以下链接备份实例:

https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html

2、通过白名单限制可访问IP;

3、如果可以的话,从互联网上删除实例,直到可以进行升级。

注:修复漏洞前请将资料备份,并进行充分测试。