【漏洞通告】Atlassian Confluence远程代码执行漏洞(CVE-2024-21683)

admin 2024年5月22日22:52:13评论22 views字数 1674阅读5分34秒阅读模式

一、漏洞概述

漏洞名称

 Atlassian Confluence远程代码执行漏洞

CVE   ID

CVE-2024-21683

漏洞类型

RCE

发现时间

2024-05-22

漏洞评分

8.3

漏洞等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

PoC/EXP

未公开

在野利用

未发现

Atlassian Confluence是一款企业级的知识管理和团队协作软件,主要功能包括团队协作、知识管理、版本控制、权限管理、扩展性、数据分析和报告等。
2024年5月22日,启明星辰集团VSRC监测到Confluence Server和Confluence Data Center中修复了一个远程代码执行漏洞(CVE-2024-21683),该漏洞的CVSS评分为8.3,经过身份验证的远程威胁者可构造恶意请求,利用该漏洞在受影响的实例上执行任意代码,而无需用户交互。

二、影响范围

受影响产品

受影响版本

修复版本

Confluence  Data Center

8.9.0

8.9.1

8.8.0 - 8.8.1

8.9.1

8.7.0 - 8.7.2

8.9.1

8.6.0 - 8.6.2

8.9.1

8.5.0 - 8.5.8 LTS

推荐 8.9.1 或 8.5.9 LTS

8.4.0 - 8.4.5

推荐 8.9.1 或 8.5.9 LTS

8.3.0 - 8.3.4

推荐 8.9.1 或 8.5.9 LTS

8.2.0 - 8.2.3

推荐 8.9.1 或 8.5.9 LTS

8.1.0 - 8.1.4

推荐 8.9.1 或 8.5.9 LTS

8.0.0 - 8.0.4

推荐 8.9.1 或 8.5.9 LTS

7.20.0 - 7.20.3

推荐 8.9.1 或 8.5.9 LTS

7.19.0 - 7.19.21 LTS

推荐8.9.1 或 8.5.9 LTS 或 7.19.22 LTS

7.18.0 - 7.18.3

推荐8.9.1 或 8.5.9 LTS 或 7.19.22 LTS

7.17.0 - 7.17.5

推荐8.9.1 或 8.5.9 LTS 或 7.19.22 LTS

更早版本

推荐8.9.1 或 8.5.9 LTS 或 7.19.22 LTS

Confluence  Server

8.5.0 - 8.5.8 LTS

推荐8.5.9 LTS

8.4.0 - 8.4.5

推荐8.5.9 LTS

8.3.0 - 8.3.4

推荐8.5.9 LTS

8.2.0 - 8.2.3

推荐8.5.9 LTS

8.1.0 - 8.1.4

推荐8.5.9 LTS

8.0.0 - 8.0.4

推荐8.5.9 LTS

7.20.0 - 7.20.3

推荐8.5.9 LTS

7.19.0 - 7.19.21 LTS

推荐 8.5.9 LTS 或 7.19.22 LTS

7.18.0 - 7.18.3

推荐 8.5.9 LTS 或 7.19.22 LTS

7.17.0 - 7.17.5

推荐 8.5.9 LTS 或 7.19.22 LTS

更早版本

推荐 8.5.9 LTS 或 7.19.22 LTS

三、安全措施

3.1升级版本

目前该漏洞已经修复,受影响用户可升级到Confluence Data Center和Server 7.19.22 LTS、8.5.9 LTS、8.9.1或更高版本。
下载链接:
https://www.atlassian.com/software/confluence/download-archives

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。

3.4 参考链接

https://jira.atlassian.com/browse/CONFSERVER-95832
https://confluence.atlassian.com/security/security-bulletin-may-21-2024-1387867145.html

原文始发于微信公众号(启明星辰安全简讯):【漏洞通告】Atlassian Confluence远程代码执行漏洞(CVE-2024-21683)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月22日22:52:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Atlassian Confluence远程代码执行漏洞(CVE-2024-21683)https://cn-sec.com/archives/2766450.html

发表评论

匿名网友 填写信息