1.1 漏洞概述
近日,斗象科技监控到Atlassian 发布了安全通告,修复了1个安全漏洞。
Confluence Data Center 是一种自托管解决方案,可为组织提供各种配置选项来满足团队协作需求。Confluence Server 是一种适用于小型团队的自托管解决方案,提供了基本的协作和知识管理功能。
1.2 影响范围
|
CVE编号 |
影响范围 |
|
CVE-2023-22515 |
8.0.0 <= Confluence Data Center & Confluence Server <= 8.0.4 8.1.0 <= Confluence Data Center & Confluence Server <= 8.1.4 8.2.0 <= Confluence Data Center & Confluence Server <= 8.2.3 8.3.0 <= Confluence Data Center & Confluence Server <= 8.3.2 8.4.0 <= Confluence Data Center & Confluence Server <= 8.4.2 8.5.0 <= Confluence Data Center & Confluence Server <= 8.5.1 |
1.3 复现环境
1.4 漏洞复现
Confluence Data Center 和 Confluence Server 在 8.x 版本中存在未授权访问漏洞。未授权的攻击者在请求 /server-info.action路由时通过 SafeParametersInterceptor 类可以污染修改变量,从而可以请求 /setup/setupadministrator.action 路由添加管理员账号。
1.5 修复建议
1.5.1 版本升级
厂商已发布了漏洞修复程序,安全版本如下:
Confluence Data Center & Confluence Server >= 8.3.3
Confluence Data Center & Confluence Server >= 8.4.3
Confluence Data Center & Confluence Server >= 8.5.2
官方下载地址:https://www.atlassian.com/zh/software/confluence/download-archives
1.6 参考链接
https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html
原文始发于微信公众号(斗象智能安全):Confluence Data Center & Server 权限提升漏洞(CVE-2023-22515)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论