Atlassian 已修复旧版 Confluence 版本中的关键 RCE

Atlassian 警告 Confluence Data Center 和 Confluence Server 中存在一个严重的远程代码执行漏洞，该漏洞被跟踪为 CVE-2023-22527（CVSS 评分 10.0），该漏洞会影响旧版本。

该漏洞是一个模板注入漏洞，可允许远程攻击者在易受攻击的 Confluence 安装上执行任意代码。

该漏洞影响 Confluence Data Center and Server 版本 8.0.x、8.1.x、8.2.x、8.3.x、8.4.x 和 8.5.0 至 8.5.3。Confluence Data Center 和 Server 的最新受支持版本不受此问题的影响。

“Confluence Data Center and Server 的过时版本上存在模板注入漏洞，允许未经身份验证的攻击者在受影响的版本上实现 RCE。使用受影响版本的客户必须立即采取行动。“此 RCE（远程代码执行）漏洞影响了 2023 年 12 月 5 日之前发布的过时的 Confluence Data Center 和 Server 8 版本以及 8.4.5，这些版本不再根据我们的安全漏洞修复政策接收向后移植的修复。Atlassian 建议修补到最新版本。

该公司通过版本 8.5.4 （LTS）、8.6.0（仅限 Data Center）和 8.7.1（仅限 Data Center）的发布解决了该漏洞。

Atlassian 建议客户安装最新版本。

该安全公告指出，没有已知的变通办法或缓解措施来修复此漏洞。