Atlassian修复了较旧版本的Confluence中关键的远程命令执行漏洞

Atlassian警告称，在Confluence Data Center和Confluence Server中存在一个严重的远程代码执行漏洞，被追踪为CVE-2023-22527（CVSS评分为10.0），影响较旧版本。该漏洞是一个模板注入漏洞，可以使远程攻击者在易受攻击的Confluence安装中执行任意代码。该漏洞影响Confluence Data Center和Server的版本8.0.x、8.1.x、8.2.x、8.3.x、8.4.x以及8.5.0至8.5.3。最新支持的Confluence Data Center和Server版本不受此问题影响。

供应商发布的公告中指出：“在过时的Confluence Data Center和Server版本上存在模板注入漏洞，允许未经身份验证的攻击者在受影响的版本上实现远程代码执行。使用受影响版本的客户必须立即采取行动。”。“这个远程代码执行（RCE）漏洞影响了在2023年12月5日之前发布的过时的Confluence Data Center和Server 8版本，以及不再根据我们的安全漏洞修复政策提供后向修复的8.4.5版本。Atlassian建议升级到最新版本进行修补。”

该公司通过发布版本8.5.4（LTS）、8.6.0（仅适用于Data Center）和8.7.1（仅适用于Data Center）来解决该漏洞。Atlassian建议客户安装最新版本。安全公告指出，目前没有已知的解决方法或缓解措施来修复此漏洞。

原文始发于微信公众号（黑猫安全）：Atlassian修复了较旧版本的Confluence中关键的远程命令执行漏洞