Atlassian Confluence 权限绕过致代码执行漏洞（CVE-2023-22518）

admin

0
文章

0
评论

2023-12-05 14:59:37 Ali_highrisk 来源：ZONE.CI 全球网 0 阅读模式

严重 Atlassian Confluence 权限绕过致代码执行漏洞（CVE-2023-22518）

CVE编号

CVE-2023-22518

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2023-10-31

漏洞描述

Atlassian Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月31日，Atlassian 官方披露CVE-2023-22518 Atlassian Confluence Data Center & Server 权限绕过漏洞。攻击者可构造恶意请求造成敏感信息泄漏，甚至导致远程代码执行。Atlassian 官方评级严重。请Atlassian Confluence客户尽快升级。影响版本 Atlassian Confluence < 7.19.16 8.3.0 <= Atlassian Confluence < 8.3.4 8.4.0 <= Atlassian Confluence < 8.4.4 8.5.0 <= Atlassian Confluence < 8.5.3 8.6.0 <= Atlassian Confluence < 8.6.1 安全版本 Atlassian Confluence 7.19.16 Atlassian Confluence 8.3.4 Atlassian Confluence 8.4.4 Atlassian Confluence 8.5.3 Atlassian Confluence 8.6.1

解决建议

1、升级至安全版本及其之后2、利用安全组功能设置其仅对可信地址开放。

参考链接
https://avd.aliyun.com/detail?id=AVD-2023-22518
https://confluence.atlassian.com/pages/viewpage.action?pageId=1311473907
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorizati...
https://jira.atlassian.com/browse/CONFSERVER-93142

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 1.0.0	Up to (excluding) 7.19.16
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 7.20.0	Up to (excluding) 8.3.4
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 8.4.0	Up to (excluding) 8.4.4
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 8.5.0	Up to (excluding) 8.5.3
	运行在以下环境
	应用	atlassian	confluence_data_center	8.6.0	-
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 1.0.0	Up to (excluding) 7.19.16
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 7.20.0	Up to (excluding) 8.3.4
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 8.4.0	Up to (excluding) 8.4.4
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 8.5.0	Up to (excluding) 8.5.3
	运行在以下环境
	应用	atlassian	confluence_server	8.6.0	-