Atlassian Confluence 模板注入代碼執(zhí)行漏洞預警（CVE-2023-22522）

2023-12-07

一、概要

近日，Atlassian官方發(fā)布安全公告，披露旗下產(chǎn)品Confluence Server、Confluence Data Center特定版本中存在一處嚴重級別的模板注入代碼執(zhí)行漏洞（CVE-2023-22522）。經(jīng)過身份驗證的攻擊者（包括具有匿名訪問權限的攻擊者）可通過將不安全的用戶輸入注入 Confluence 頁面觸發(fā)漏洞，成功利用該漏洞可造成在受影響的服務器上實現(xiàn)遠程代碼執(zhí)行。

Atlassian Confluence Data Center & Server 是Atlassian 公司提供的一款專業(yè)的企業(yè)知識管理與協(xié)同軟件，可用于構建企業(yè)wiki。華為云提醒使用Atlassian Confluence Data Center & Server的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

https://jira.atlassian.com/browse/CONFSERVER-93502

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

Confluence Data Center and Server 4.x.x

Confluence Data Center and Server 5.x.x

Confluence Data Center and Server 6.x.x

Confluence Data Center and Server 7.x.x

Confluence Data Center and Server 8.0.x

Confluence Data Center and Server 8.1.x

Confluence Data Center and Server 8.2.x

Confluence Data Center and Server 8.3.x

8.4.0 <= Confluence Data Center and Server <= 8.4.4

8.5.0 <= Confluence Data Center and Server <= 8.5.3

8.6.0 <= Confluence Data Center <= 8.6.1

安全版本：

Confluence Data Center and Server 7.19.17 (LTS)

Confluence Data Center and Server 8.4.5

Confluence Data Center and Server 8.5.4 (LTS)

Confluence Data Center >= 8.6.2

Confluence Data Center >= 8.7.1

四、漏洞處置

目前，官方已發(fā)布新版本修復了該漏洞，請受影響的用戶升級到安全版本：

https://www.atlassian.com/software/confluence/download-archives

若無法及時升級，可根據(jù)Atlassian官方提供的建議進行緩解：

1、參考以下鏈接備份實例：

https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html

2、通過白名單限制可訪問IP；

3、如果可以的話，從互聯(lián)網(wǎng)上刪除實例，直到可以進行升級。

注：修復漏洞前請將資料備份，并進行充分測試。