Atlassian Confluence Data Center & Server授權不當漏洞安全風險通告
責編:gltian |2023-11-01 16:12:22| 漏洞概述 | |||
| 漏洞名稱 | Atlassian Confluence Data Center & Server 授權不當漏洞 | ||
| 漏洞編號 | QVD-2023-31548、CVE-2023-22518 | ||
| 公開時間 | 2023-10-31 | 影響對象數量級 | 十萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分數 | 9.1 |
| 威脅類型 | 拒絕服務 | 利用可能性 | 高 |
| POC狀態 | 未公開 | 在野利用狀態 | 未發現 |
| EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
| 危害描述:未經身份認證的遠程攻擊者可能利用此漏洞破壞服務端的可用性及完整性。 | |||
01?漏洞詳情
影響組件
Confluence 是由 Atlassian 開發的企業級團隊協作和知識管理軟件。它旨在幫助團隊協同工作、共享知識、記錄文檔和協作編輯等。
漏洞描述
近日,奇安信CERT監測到Atlassian官方發布Atlassian Confluence Data Center & Server 授權不當漏洞(CVE-2023-22518)公告,未經身份認證的遠程攻擊者可能利用此漏洞破壞服務端的可用性及完整性,可能造成拒絕服務等影響。
鑒于此產品用量較大,建議客戶盡快做好自查及防護。
02?影響范圍
影響版本
Atlassian Confluence Data Center & Server < 7.19.16
Atlassian Confluence Data Center & Server < 8.3.4
Atlassian Confluence Data Center & Server < 8.4.4
Atlassian Confluence Data Center & Server < 8.5.3
Atlassian Confluence Data Center & Server < 8.6.1
注:目前已經停止維護的版本同樣受此漏洞影響
不受影響版本
Atlassian Confluence >= 7.19.16
Atlassian Confluence >= 8.3.4
Atlassian Confluence >= 8.4.4
Atlassian Confluence >= 8.5.3
Atlassian Confluence >= 8.6.1
注:Atlassian Cloud站點不受此漏洞影響。如果您的Confluence站點是通過atlassian.net域名訪問的,則該站點由Atlassian托管,不會受到此問題的影響。
其他受影響組件
無
03?受影響資產情況
奇安信鷹圖資產測繪平臺數據顯示,Atlassian Confluence Data Center & Server 授權不當漏洞(CVE-2023-22518)關聯的國內風險資產總數為164214個,關聯IP總數為9142個。國內風險資產分布情況如下:
Atlassian Confluence Data Center & Server 授權不當漏洞(CVE-2023-22518)關聯的全球風險資產總數為349148個,關聯IP總數為27536個。全球風險資產分布情況如下:
04?處置建議
安全更新
目前Atlassian官方已發布可更新版本,建議受影響用戶升級至:
Atlassian Confluence >= 7.19.16
Atlassian Confluence >= 8.3.4
Atlassian Confluence >= 8.4.4
Atlassian Confluence >= 8.5.3
Atlassian Confluence >= 8.6.1
https://www.atlassian.com/software/confluence/download-archives
緩解措施
暫時無法升級的用戶,可采用以下緩解措施:
- 參考以下鏈接備份實例:
- 配置ACL,限制外部可訪問IP;
- 如果可以的話,從互聯網上刪除實例,直到可以進行升級。
https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html
05?參考資料
[1]https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
來源:奇安信 CERT