>>>> 漏洞名称:
CVE-2023-22515 Atlassian Confluence权限缺陷漏洞
>>>> 组件名称:
Atlassian Confluence
>>>> 漏洞类型:
权限缺陷漏洞
>>>> 利用条件:
1、用户认证:不需要用户认证
2、触发方式:远程
>>>> 综合评定利用难度:
简单
>>>> 综合评定威胁等级:
高
漏洞描述
1
组件介绍
Atlassian Confluence Data Center & Server 是 Atlassian 公司提供的一款企业级团队协作和知识管理软件。它旨在帮助团队协同工作、共享知识、记录文档和协作编辑等。
2
漏洞描述
Confluence Data Center and Server 存在权限提升漏洞,由于 SafeParametersInterceptor 拦截器逻辑存在缺陷,未经身份验证的远程攻击者可以利用该漏洞来创建未授权的 onfluence 管理员帐户并访问Confluent实例。
影响范围
8.0.0 <= Confluence Data Center and Confluence Server <= 8.0.4
8.1.0 <= Confluence Data Center and Confluence Server <= 8.1.4
8.2.0 <= Confluence Data Center and Confluence Server <= 8.2.3
8.3.0 <= Confluence Data Center and Confluence Server <= 8.3.2
8.4.0 <= Confluence Data Center and Confluence Server <= 8.4.2
8.5.0 <= Confluence Data Center and Confluence Server <= 8.5.1
修复建议
1
官方修复建议
官方已发布新版本,修复了此漏洞。
缓解措施参考:
https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html
2
青藤产品解决方案
青藤万相已支持检测。
青藤云幕已支持漏洞拦截。
漏洞时间线
2023年10月8日
监听到漏洞信息
2023年10月8日
青藤复现
2023年10月11日
青藤发布漏洞通告
-完-
原文始发于微信公众号(青藤实验室):【漏洞通告】CVE-2023-22515 Atlassian Confluence权限缺陷漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论