Atlassian Confluence Data Center & Server 授权不当漏洞安全风险通告

发布于 作者:

Atlassian Confluence Data Center & Server 授权不当漏洞安全风险通告

原创 QAX CERT 奇安信 CERT 2023-10-31 16:59

● 
点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

Atlassian Confluence Data Center & Server 授权不当漏洞

漏洞编号

QVD-2023-31548、CVE-2023-22518

公开时间

2023-10-31

影响对象数量级

十万级

奇安信评级

高危

CVSS 3.1分数

9.1

威胁类型

拒绝服务

利用可能性

POC状态

未公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

未公开

危害描述:未经身份认证的远程攻击者可能利用此漏洞破坏服务端的可用性及完整性。

01

漏洞详情

>
>
>
>

影响组件

Confluence 是由 Atlassian 开发的企业级团队协作和知识管理软件。它旨在帮助团队协同工作、共享知识、记录文档和协作编辑等。

>
>
>
>

漏洞描述

近日,奇安信CERT监测到Atlassian官方发布Atlassian Confluence Data Center & Server 授权不当漏洞(CVE-2023-22518)
公告,未经身份认证的远程攻击者可能利用此漏洞破坏服务端的可用性及完整性,可能造成拒绝服务等影响。

鉴于此产品用量较大,建议客户尽快做好自查及防护。

02

影响范围

>
>
>
>

影响版本

Atlassian Confluence Data Center & Server < 7.19.16

Atlassian Confluence Data Center & Server < 8.3.4

Atlassian Confluence Data Center & Server < 8.4.4

Atlassian Confluence Data Center & Server < 8.5.3

Atlassian Confluence Data Center & Server < 8.6.1

注:
目前已经停止维护的版本同样受此漏洞影响

>
>
>
>

不受影响版本

Atlassian Confluence >= 7.19.16

Atlassian Confluence >= 8.3.4

Atlassian Confluence >= 8.4.4

Atlassian Confluence >= 8.5.3

Atlassian Confluence >= 8.6.1

注:
Atlassian Cloud站点不受此漏洞影响。如果您的Confluence站点是通过atlassian.net域名访问的,则该站点由Atlassian托管,不会受到此问题的影响。

>
>
>
>

其他受影响组件

03

受影响资产情况

奇安信鹰图资产测绘平台数据显示,Atlassian Confluence Data Center & Server 授权不当漏洞(CVE-2023-22518)关联的国内风险资产总数为164214个,关联IP总数为9142个。国内风险资产分布情况如下:

Atlassian Confluence Data Center & Server 授权不当漏洞(CVE-2023-22518)关联的全球风险资产总数为349148个,关联IP总数为27536个。全球风险资产分布情况如下:

04

处置建议

>
>
>
>

安全更新

目前Atlassian官方已发布可更新版本,建议受影响用户升级至:

Atlassian Confluence >= 7.19.16

Atlassian Confluence >= 8.3.4

Atlassian Confluence >= 8.4.4

Atlassian Confluence >= 8.5.3

Atlassian Confluence >= 8.6.1

https://www.atlassian.com/software/confluence/download-archives

>
>
>
>

缓解措施

暂时无法升级的用户,可采用以下缓解措施:

  • 参考以下链接备份实例:

https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html

  • 配置ACL,限制外部可访问IP;

  • 如果可以的话,从互联网上删除实例,直到可以进行升级。

05

参考资料

[1]https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

06

时间线

2023年10月31日,奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:

奇安信 CERT

致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。

点击↓阅读原文,到
ALHA威胁分析平台
订阅更多漏洞信息。