Atlassian 修复了旧版 Confluence 中的关键 RCE

Atlassian发布警告称：Confluence Data Center 和 Confluence Server 中存在严重的远程代码执行漏洞，该漏洞被编号为CVE-2023-22527（CVSS 评分10.0），会影响旧版本。

此漏洞是一种模板注入漏洞，允许远程攻击者在易受攻击的Confluence上执行任意代码。Confluence Data Center和Server的以下版本受到影响：8.0.x、8.1.x、8.2.x、8.3.x、8.4.x以及8.5.0至8.5.3，最新版本不受此问题的影响。

根据ZoomEye网络空间搜索引擎的测绘数据，目前全球有超44万条有关Confluence的搜索结果。

ZoomEye搜索结果

“在Confluence Data Center和Server的旧版本存在模板注入漏洞，允许未经身份验证的攻击者在受影响的版本上实现远程代码执行（RCE）。”厂商在发布的安全公告中还指出。“该RCE漏洞影响2023年12月5日之前发布的Confluence Data Center和Server 8、以及8.4.5版本，根据修复策略，相关版本后续不再进行修复，建议用户安装最新版本。”

Atlassian通过发布8.5.4（LTS）、8.6.0（仅适用于Data Center）和8.7.1（仅适用于Data Center）版本来解决此漏洞。同时建议用户立即安装最新版本以修补相关漏洞。

安全公告还提到，此漏洞目前暂未发布相关修复措施。

（消息来源：https://securityaffairs.com/157591/security/atlassian-rce-flaw-older-confluence-versions.html）