01 漏洞概况
Atlassian-Confluence存在严重的路径遍历漏洞。未经身份确认的攻击者可以利用该漏洞对Confluence服务器机密性,完整性和可用性造成严重影响。
02 漏洞处置
综合处置优先级:高
漏洞信息
漏洞名称
Atlassian-Confluence路径遍历漏洞
漏洞编号
CVE编号
CVE-2024-21677
漏洞评估
披露时间
2024-03-21
漏洞类型
目录遍历
危害评级
高危
公开程度
PoC未公开
威胁类型
远程
利用情报
在野利用
是
影响产品
产品名称
Confluence Data Center
Confluence Server
受影响版本
Confluence Data Center = 8.8.0,8.7.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.7.2,8.6.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.6.2,8.5.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.5.6 (LTS),8.4.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.4.5,8.3.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.3.4,8.2.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.2.3,8.1.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.1.4,8.0.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.0.4,7.20.0 ≤ Confluence Data Center 与 Confluence Server ≤ 7.20.3,7.19.0 (LTS) ≤ Confluence Data Center 与 Confluence Server ≤ 7.19.19 (LTS),7.18.0 ≤ Confluence Data Center 与 Confluence Server ≤ 7.18.3,7.17.0 ≤ Confluence Data Center 与 Confluence Server ≤ 7.17.5,Confluence Data Center 与 Confluence Server ≤ 7.17.0
影响范围
广
有无修复补丁
有
01 漏洞概况
02 漏洞处置
综合处置优先级:高
|
漏洞信息 |
漏洞名称 |
Atlassian-Confluence路径遍历漏洞 |
|
漏洞编号 |
CVE编号 |
CVE-2024-21677 |
|
漏洞评估 |
披露时间 |
2024-03-21 |
|
漏洞类型 |
目录遍历 |
|
|
危害评级 |
高危 |
|
|
公开程度 |
PoC未公开 |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
在野利用 |
是 |
|
影响产品 |
产品名称 |
Confluence Data Center |
|
受影响版本 |
Confluence Data Center = 8.8.0,8.7.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.7.2,8.6.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.6.2,8.5.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.5.6 (LTS),8.4.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.4.5,8.3.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.3.4,8.2.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.2.3,8.1.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.1.4,8.0.0 ≤ Confluence Data Center 与 Confluence Server ≤ 8.0.4,7.20.0 ≤ Confluence Data Center 与 Confluence Server ≤ 7.20.3,7.19.0 (LTS) ≤ Confluence Data Center 与 Confluence Server ≤ 7.19.19 (LTS),7.18.0 ≤ Confluence Data Center 与 Confluence Server ≤ 7.18.3,7.17.0 ≤ Confluence Data Center 与 Confluence Server ≤ 7.17.5,Confluence Data Center 与 Confluence Server ≤ 7.17.0 |
|
|
影响范围 |
广 |
|
|
有无修复补丁 |
有 |
03 漏洞排查
在 Confluence 的管理界面中,依次点击左侧菜单中的“设置”(Settings),然后在“系统”(System)下点击“系统信息”(System Information)中查看版本。若存在应用使用,极大可能会受到影响。
04 修复方案
1、官方修复方案:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://vip.kingdee.com/knowledge/specialDetail/164676138713728512?category=268743209985840384&id=460728139602294272&productLineId=8
建议Confluence Data Center 与 Confluence Server升级到最新版本.
2、临时修复方案:
如果无法升级,请将实例升级到指定支持的固定版本之一。 请参阅发布说明:https://confluence.atlassian.com/doc/confluence-release-notes-327.html 。您可以从下载中心下载最新版本的 Confluence Data Center 和 Server:https://www.atlassian.com/software/confluence/download-archives。
05 时间线
2024.03.21 厂商发布安全补丁
2024.03.21 安迈信科安全运营团队发布通告
原文始发于微信公众号(安迈信科应急响应中心):【漏洞通告】Atlassian-Confluence路径遍历漏洞
03 漏洞排查
04 修复方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://vip.kingdee.com/knowledge/specialDetail/164676138713728512?category=268743209985840384&id=460728139602294272&productLineId=8
建议Confluence Data Center 与 Confluence Server升级到最新版本.
如果无法升级,请将实例升级到指定支持的固定版本之一。 请参阅发布说明:https://confluence.atlassian.com/doc/confluence-release-notes-327.html 。您可以从下载中心下载最新版本的 Confluence Data Center 和 Server:https://www.atlassian.com/software/confluence/download-archives。
05 时间线
原文始发于微信公众号(安迈信科应急响应中心):【漏洞通告】Atlassian-Confluence路径遍历漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论