Atlassian Confluence 模板注入代碼執(zhí)行漏洞預(yù)警（CVE-2023-22522）

2023-12-07

一、概要

近日，Atlassian官方發(fā)布安全公告，披露旗下產(chǎn)品Confluence Server、Confluence Data Center特定版本中存在一處嚴(yán)重級(jí)別的模板注入代碼執(zhí)行漏洞（CVE-2023-22522）。經(jīng)過(guò)身份驗(yàn)證的攻擊者（包括具有匿名訪問(wèn)權(quán)限的攻擊者）可通過(guò)將不安全的用戶輸入注入 Confluence 頁(yè)面觸發(fā)漏洞，成功利用該漏洞可造成在受影響的服務(wù)器上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

Atlassian Confluence Data Center & Server 是Atlassian 公司提供的一款專業(yè)的企業(yè)知識(shí)管理與協(xié)同軟件，可用于構(gòu)建企業(yè)wiki。華為云提醒使用Atlassian Confluence Data Center & Server的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

https://jira.atlassian.com/browse/CONFSERVER-93502

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Confluence Data Center and Server 4.x.x

Confluence Data Center and Server 5.x.x

Confluence Data Center and Server 6.x.x

Confluence Data Center and Server 7.x.x

Confluence Data Center and Server 8.0.x

Confluence Data Center and Server 8.1.x

Confluence Data Center and Server 8.2.x

Confluence Data Center and Server 8.3.x

8.4.0 <= Confluence Data Center and Server <= 8.4.4

8.5.0 <= Confluence Data Center and Server <= 8.5.3

8.6.0 <= Confluence Data Center <= 8.6.1

安全版本：

Confluence Data Center and Server 7.19.17 (LTS)

Confluence Data Center and Server 8.4.5

Confluence Data Center and Server 8.5.4 (LTS)

Confluence Data Center >= 8.6.2

Confluence Data Center >= 8.7.1

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://www.atlassian.com/software/confluence/download-archives

若無(wú)法及時(shí)升級(jí)，可根據(jù)Atlassian官方提供的建議進(jìn)行緩解：

1、參考以下鏈接備份實(shí)例：

https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html

2、通過(guò)白名單限制可訪問(wèn)IP；

3、如果可以的話，從互聯(lián)網(wǎng)上刪除實(shí)例，直到可以進(jìn)行升級(jí)。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。