免责声明:该文章仅用于技术讨论与学习。请勿利用文章所提供的相关技术从事非法测试,若利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。
漏洞名称
Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)
漏洞评分
10.0(严重)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/
漏洞详情
Atlassian Confluence 是由 Atlassian 开发的一种企业知识管理和协作平台,主要帮助团队共享知识、协作和创建内容。
Confluence Data Center 和 Confluence Server 存在模板注入漏洞,未经身份验证的远程攻击者可通过构造恶意的请求在受影响的版本上执行任意代码。
| 漏洞编号 | CVE-2023-22527 | 漏洞类型 |
远程代码执行漏洞 |
| POC状态 | 未知 | 漏洞细节 |
未知 |
| EXP状态 |
未知 | 在野利用 |
未知 |
影响版本
Confluence Data Center、Confluence Server =8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x
8.5.0 <= Confluence Data Center、Confluence Server <= 8.5.3
安全版本
Confluence Data Center、Confluence Server >= 8.5.4 (LTS)
Confluence Data Center >= 8.6.0
Confluence Data Center >= 8.7.1
修复建议
更新 Confluence Data Center、Confluence Server 至最新版本:
https://www.atlassian.com/software/confluence/download-archives
参考链接
https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html
原文始发于微信公众号(蚁剑安全实验室):【漏洞预警】Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论