Atlassian警告称,在Confluence Data Center和Confluence Server中存在一个严重的远程代码执行漏洞,被追踪为CVE-2023-22527(CVSS评分为10.0),影响较旧版本。该漏洞是一个模板注入漏洞,可以使远程攻击者在易受攻击的Confluence安装中执行任意代码。该漏洞影响Confluence Data Center和Server的版本8.0.x、8.1.x、8.2.x、8.3.x、8.4.x以及8.5.0至8.5.3。最新支持的Confluence Data Center和Server版本不受此问题影响。
供应商发布的公告中指出:“在过时的Confluence Data Center和Server版本上存在模板注入漏洞,允许未经身份验证的攻击者在受影响的版本上实现远程代码执行。使用受影响版本的客户必须立即采取行动。”。“这个远程代码执行(RCE)漏洞影响了在2023年12月5日之前发布的过时的Confluence Data Center和Server 8版本,以及不再根据我们的安全漏洞修复政策提供后向修复的8.4.5版本。Atlassian建议升级到最新版本进行修补。”
该公司通过发布版本8.5.4(LTS)、8.6.0(仅适用于Data Center)和8.7.1(仅适用于Data Center)来解决该漏洞。Atlassian建议客户安装最新版本。安全公告指出,目前没有已知的解决方法或缓解措施来修复此漏洞。
原文始发于微信公众号(黑猫安全):Atlassian修复了较旧版本的Confluence中关键的远程命令执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论