漏洞公告
近日,安恒信息CERT监测到Atlassian Confluence 权限提升漏洞(CVE-2023-22515),目前技术细节及PoC未公开 ,漏洞详情如下:Atlassian收到客户报告的一个问题,即攻击者可以利用有访问权限的Confluence Data Center and Server实例漏洞在未授权的情况下创建Confluence管理员用户并以管理员权限进入Confluence后台。
安恒信息卫兵实验室已复现此漏洞。
漏洞信息
| 漏洞标题 | Atlassian Confluence 权限提升漏洞 |
||
| 应急响应等级 | 1级 | ||
| 漏洞类型 | 权限提升 | ||
| 影响目标 | 影响厂商 | Atlassian | |
| 影响产品 | Confluence | ||
| 影响版本 |
8.0.0 8.0.1 8.0.2 8.0.3 8.0.4 8.1.0 8.1.1 8.1.3 8.1.4 8.2.0 8.2.1 8.2.2 8.2.3 8.3.0 8.3.1 8.3.2 8.4.0 8.4.1 8.4.2 8.5.0 8.5.1 |
||
| 安全版本 |
|
||
| 漏洞编号 | CVE编号 | CVE-2023-22515 | |
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 |
||
| 安恒CERT编号 | DM-202301-000022 | ||
| 漏洞标签 | web应用 | ||
| CVSS3.1评分 | 10 | 危害等级 | 严重 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 | ||
| 所需权限(PR) | 无需任何权限 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 已改变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 高 | ||
| 可用性影响(A) | 高 | ||
| 威胁状态 | Poc情况 | 已发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 已发现 | ||
| 研究情况 | 已复现 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
该产品主要使用客户行业分布为广泛,基于CVSS3.1评分为10分,该漏洞危害性严重,建议客户尽快做好自查及防护。
修复方案
官方修复方案:
<security-constraint><web-resource-collection><url-pattern>/setup/*</url-pattern><http-method-omission>*</http-method-omission></web-resource-collection><auth-constraint /></security-constraint>
产品能力覆盖
|
产品名称 |
覆盖补丁包 |
|
AiLPHA大数据平台 |
已支持 |
|
AXDR平台的流量探针 |
已支持 |
|
APT攻击预警平台 |
已支持 |
|
明鉴漏洞扫描系统 |
已支持 |
|
明鉴远程安全评估系统 |
已支持 |
|
云鉴版漏洞扫描系统 |
已支持 |
|
WebScan7 |
已支持 |
|
WAF |
已支持 |
|
玄武盾 |
已支持 |
参考资料
技术支持
如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑
安恒信息CERT
2023年10月
原文始发于微信公众号(安恒信息CERT):【风险通告】Atlassian Confluence 权限提升漏洞(CVE-2023-22515)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论