阿里云漏洞库

漏洞描述

Atlassian Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月31日，Atlassian 官方披露CVE-2023-22518 Atlassian Confluence Data Center & Server 权限绕过漏洞。攻击者可构造恶意请求造成敏感信息泄漏，甚至导致远程代码执行。Atlassian 官方评级严重。请Atlassian Confluence客户尽快升级。

影响版本

Atlassian Confluence < 7.19.16

8.3.0 <= Atlassian Confluence < 8.3.4

8.4.0 <= Atlassian Confluence < 8.4.4

8.5.0 <= Atlassian Confluence < 8.5.3

8.6.0 <= Atlassian Confluence < 8.6.1

解决建议

安全版本
Atlassian Confluence 7.19.16
Atlassian Confluence 8.3.4
Atlassian Confluence 8.4.4
Atlassian Confluence 8.5.3
Atlassian Confluence 8.6.1

1、升级至安全版本及其之后；
2、利用安全组功能设置其仅对可信地址开放。

参考链接
http://packetstormsecurity.com/files/176264/Atlassian-Confluence-Improper-Aut...
https://avd.aliyun.com/detail?id=AVD-2023-22518
https://confluence.atlassian.com/pages/viewpage.action?pageId=1311473907
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorizati...
https://jira.atlassian.com/browse/CONFSERVER-93142

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 1.0.0	Up to (excluding) 7.19.16
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 7.20.0	Up to (excluding) 8.3.4
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 8.4.0	Up to (excluding) 8.4.4
	运行在以下环境
	应用	atlassian	confluence_data_center	*	From (including) 8.5.0	Up to (excluding) 8.5.3
	运行在以下环境
	应用	atlassian	confluence_data_center	8.6.0	-
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 1.0.0	Up to (excluding) 7.19.16
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 7.20.0	Up to (excluding) 8.3.4
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 8.4.0	Up to (excluding) 8.4.4
	运行在以下环境
	应用	atlassian	confluence_server	*	From (including) 8.5.0	Up to (excluding) 8.5.3
	运行在以下环境
	应用	atlassian	confluence_server	8.6.0	-

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

10000

CWE-ID	漏洞类型
CWE-863	授权机制不正确

严重 Atlassian Confluence 权限绕过致代码执行漏洞（CVE-2023-22518）

漏洞描述

解决建议

参考链接

受影响软件情况