| 概括 | CVE-2023-22518 – Confluence 数据中心和服务器中的不当授权漏洞 |
| 咨询发布日期 | 2023 年 10 月 31 日星期二 00:00 美国东部时间 |
| 产品 |
|
| CVE ID | CVE-2023-22518 |
| 相关 Jira 票证 |
漏洞总结
来自首席信息安全官 (CISO) Bala Sathaimurthy 的重要消息,作为我们持续安全评估流程的一部分,我们发现 Confluence 数据中心和服务器客户如果被未经身份验证的攻击者利用,很容易遭受重大数据丢失。目前没有关于主动利用的报告;然而,顾客必须立即采取行动保护他们的实例。请阅读下面的关键安全公告,了解说明和漏洞详细信息。
保护客户的实例是我们的首要任务,我们的及时响应表明我们致力于确保客户和您的数据的安全。Atlassian 始终审查安全措施,以降低安全风险并支持我们的客户及时采取行动。客户可以根据需要在我们的每月咨询计划之外收到高优先级补丁。我们相信,采取积极行动是最好的方法,我们感谢您持续的合作伙伴关系。
Confluence Data Center 和 Server 的所有版本均受此未利用漏洞的影响。由于攻击者无法泄露任何实例数据,因此不会影响机密性。
下面列出的可公开访问的 Confluence 数据中心和服务器版本面临严重风险,需要立即关注。有关详细说明,请参阅“您需要做什么”。
Atlassian Cloud 站点不受此漏洞的影响。如果您的 Confluence 站点是通过 atlassian.net 域访问的,则该站点由 Atlassian 托管,并且不易受到此问题的影响。
严重性
Atlassian 将此漏洞的严重级别评为“严重”(9.1,具有以下向量CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A: H ) 根据我们的内部评估。
这是我们的评估,您应该评估其对您自己的 IT 环境的适用性。
受影响的版本
此不当授权漏洞影响 Confluence Data Center 和 Server 所列出的修复版本之前的所有版本。Atlassian 建议修补至固定 LTS 版本或更高版本。
| 产品 | 受影响的版本 |
|---|---|
| Confluence 数据中心和服务器 | 所有版本均受影响 |
你需要做什么
立即修补至固定版本
Atlassian 建议您将每个受影响的安装修补到下面列出的固定版本(或任何更高版本)之一。
| 产品 | 固定版本 |
|---|---|
| Confluence 数据中心和服务器 |
|
如果无法修补,请应用临时缓解措施
- 备份您的实例。(说明:https ://confluence.atlassian.com/doc/production-backup-strategy-38797389.html )
- 如果可能的话,从互联网上删除您的实例,直到您可以修补。在可以修补之前,应限制可访问公共互联网的实例(包括具有用户身份验证的实例)的外部网络访问权限。
评论