长亭百川云

长亭百川云

技术讨论长亭漏洞情报库IP 威胁情报在线工具
严重

Atlassian Confluence 远程代码执行漏洞

披露时间:
2023-10-31
更新时间:
2025-02-10
CT 编号
CT-947127
CVE 编号
CVE-2023-22518
CNVD 编号
N/A
CNNVD 编号
CNNVD-202310-2667
原理分类
其他
漏洞评分
9.1

漏洞描述

Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月31日,Atlassian 官方披露 CVE-2023-22518 Atlassian Confluence Data Center & Server 权限提升漏洞。攻击者可构造恶意请求创建管理员,从而登录系统,最终可导致远程代码执行。

漏洞危害

1、远程代码执行(RCE):攻击者可以构造恶意的请求数据,在操作系统上执行任意代码。获取系统权限,访问敏感数据等。
2、窃取敏感数据:攻击者可以窃取服务器上的敏感数据,如用户帐户、密码、数据库内容等。可能导致隐私泄露和数据泄露。

检测工具

本地检测工具下载
./atlassian_confluence_rce_cve_2023_22518_scanner_linux_amd64 scan

修复方法

1、版本升级方案
升级confluence到7.19.16、8.3.4、8.4.4、8.5.3、8.6.1 或更高版本
https://www.atlassian.com/software/confluence
2、临时缓解措施
利用安全组功能设置其仅对可信地址开放

参考链接

http://packetstormsecurity.com/files/176264/Atlassian-Confluence-Improper-Authorization-Code-Execution.html
https://avd.aliyun.com/detail?id=AVD-2023-22518
https://confluence.atlassian.com/pages/viewpage.action?pageId=1311473907
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
https://github.com/RootUp/PersonalStuff/blob/master/check_cve_2023_22518.py
https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-22518.yaml
https://jira.atlassian.com/browse/CONFSERVER-93142
https://www.bleepingcomputer.com/news/security/atlassian-warns-of-exploit-for-confluence-data-wiping-bug-get-patching/
https://www.rapid7.com/blog/post/2023/11/06/etr-rapid7-observed-exploitation-of-atlassian-confluence-cve-2023-22518/
https://www.securityweek.com/exploitation-of-critical-confluence-vulnerability-begins/

评分维度

长亭安全产品覆盖情况

雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统

漏洞时间线

  • 漏洞披露

    2023-10-31

  • 漏洞信息更新

    2025-02-10

热门产品
雷池 WAF 社区版
IP 威胁情报
网站安全监测
百川漏扫服务
云堡垒机
百川云
技术文档
开发工具
长亭漏洞情报库
网安百科
安全社区
CT STACK 安全社区
雷池社区版
XRAY 扫描工具
长亭科技
长亭科技官网
万众合作伙伴商城
长亭 BBS 论坛
友情链接
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服
Copyright ©2024 北京长亭科技有限公司
icon
京ICP备2024055124号-2