股票代码:688225
Menu

产(chǎn)品全景图 >

云安(ān)全
终端安(ān)全
数据安(ān)全
身份安(ān)全
高级威胁治理(lǐ)
网络与通信安(ān)全
安(ān)全管理(lǐ)
SaaS服務(wù)
一體(tǐ)化智能(néng)安(ān)全运营平台
网络管理(lǐ)
信息技(jì )术应用(yòng)创新(xīn)
工(gōng)业安(ān)全

安(ān)全服務(wù) >

安(ān)全运营 >

云安(ān)全
信舱云主机安(ān)全DeepSecurity
信帆云原生容器安(ān)全CNAPP
信池云安(ān)全资源池SDSEC
终端安(ān)全
信界安(ān)全工(gōng)作(zuò)空间【Trust Work Space】
新(xīn)一代终端安(ān)全TrustOne
数据安(ān)全
信数数据安(ān)全运营平台【AISDSOP】
信数数据分(fēn)类分(fēn)级系统【AISDC】
信数数据库审计系统【AISDBA】
信数数据脱敏系统【AISDM】
信数数据库防火墙【AISDBFW】
信数数据库访问控制【AISDBAC】
信数多(duō)方计算平台【AISMPC】
信数应用(yòng)安(ān)全审计系统【AISAPI】
信数数据防泄漏系统【AISNDLP】
信数数据水印溯源系统【AISDWM】
信数数据库加密系统【AISDBE】
身份安(ān)全
信磐统一身份认证与访问管理(lǐ)系统【AISIAM】
信磐堡垒机【AISIFORT】
高级威胁治理(lǐ)
信桅高级威胁监测系统【TDA】
信桅高级威胁分(fēn)析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信池统一安(ān)全管理(lǐ)平台【LinkOne】
信桅蜜罐系统【AISBIG】
网络与通信安(ān)全
信舷防毒墙系统【AISEDGE】
信舷防火墙系统【AISFW】
信舷WEB应用(yòng)防火墙系统【AISWAF】
信舷网络威胁入侵防护系统【AISTPS】
信舷上网行為(wèi)审计系统【AISACG】
信磐互联网接入认证系统【AISOBS】
集中(zhōng)IPoE接入认证系统【AISDHCP】
DNS全业務(wù)域名(míng)解析系统【AISDNS】
域名(míng)服務(wù)和地址分(fēn)配及管理(lǐ)系统【AIDDI】
信舷安(ān)全隔离与信息交换系统【AISIES】
信舷网页(yè)防篡改系统【AISWD】
信舷抗拒绝服務(wù)系统【AISADS】
5G全流量安(ān)全检测与响应系统【AIS5GNDR】
大模型安(ān)全网关【AISLFW】
信桨网络流量审计分(fēn)析系统【SpiderFlow】
安(ān)全管理(lǐ)
日志(zhì)审计分(fēn)析系统【AIRDS】
漏洞扫描系统【SpiderScan】
安(ān)全数据中(zhōng)心【AISSDC】
SaaS服務(wù)
天穹共享免疫SaaS系统【ImmunityOne】
一體(tǐ)化智能(néng)安(ān)全运营平台
信舵安(ān)全管理(lǐ)与分(fēn)析平台【MAXS】
网络管理(lǐ)
故障管理(lǐ)系统【AISFMS】
算网融合管理(lǐ)系统【AISCNCMP】
综合终端管理(lǐ)系统 【AISITMS】
智能(néng)网管系统【AISIPOSS】
信息技(jì )术应用(yòng)创新(xīn)
信创DHCP系统
信创DNS全业務(wù)域名(míng)解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用(yòng)防火墙系统
信创防火墙系统
工(gōng)业安(ān)全
信桨工(gōng)控防火墙【ICFireWall】
信桨工(gōng)业流量审计分(fēn)析系统【ICFlow】
信桨工(gōng)业主机安(ān)全加固【ICHost】
信桨工(gōng)业安(ān)全管理(lǐ)平台【ICSMP】
信桨工(gōng)业安(ān)全隔离与信息交换系统 【ICGAP】
信桨工(gōng)业运维安(ān)全管理(lǐ)与审计系统【ICOPS】
信桨工(gōng)控等保检查工(gōng)具(jù)箱【ICSI】
安(ān)全运营
MSS托管安(ān)全运营服務(wù)
热点推荐
<
|
>
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告

安(ān)全通告

Atlassian Confluence 模板注入代码执行漏洞风险通告
发布时间 :2023年12月07日
分(fēn)享:

近期,亚信安(ān)全CERT通过监控发现,Atlassian 公(gōng)司发布了一则安(ān)全公(gōng)告,针对 Confluence 数据中(zhōng)心和 Confluence 服務(wù)器存在的遠(yuǎn)程代码执行漏洞(CVE-2023-22522)进行了修复。该漏洞涉及 Confluence 页(yè)面中(zhōng)的模板注入问题,允许经过身份验证的攻击者(包括具(jù)有(yǒu)匿名(míng)访问权限的攻击者)将不安(ān)全的用(yòng)户输入注入到 Confluence 页(yè)面中(zhōng)。通过此漏洞,攻击者可(kě)在受影响的实例上实现遠(yuǎn)程代码执行。值得注意的是,如果您的 Confluence 站点是通过 atlassian.net 域访问的,则不会受到此问题的影响。


Confluence 作(zuò)為(wèi)一款专业的企业知识管理(lǐ)与协同软件,广泛用(yòng)于构建企业 Wiki。其简单易用(yòng)的特性以及强大的编辑和站点管理(lǐ)功能(néng),有(yǒu)助于团队成员之间的信息共享、文(wén)档协作(zuò)、集體(tǐ)讨论和信息推送。目前,全球范围内已有(yǒu)超过 75,000 家客户选择并使用(yòng)该产(chǎn)品。


鉴于该安(ān)全漏洞的存在,厂商(shāng)已迅速发布修复版本。亚信安(ān)全CERT强烈建议使用(yòng)受影响版本的用(yòng)户及时关注官方更新(xīn),并参照官方提供的修复方案迅速采取相关措施。為(wèi)确保资产(chǎn)安(ān)全,建议用(yòng)户进行资产(chǎn)自查和预防工(gōng)作(zuò),以免遭受潜在的黑客攻击。


漏洞编号、等级和类型

  • CVE-2023-22522

  • 高危

  • 代码执行


漏洞状态

image.png

受影响版本

  • 4.x.x <= Confluence Data Center and Server <= 7.x.x

  • 8.0.x <= Confluence Data Center and Server <= 8.3.x

  • 8.4.0 <= Confluence Data Center and Server <= 8.4.4

  • 8.5.0 <= Confluence Data Center and Server <= 8.5.3

  • 8.6.0 <= Confluence Data Center <= 8.6.1


修复建议

目前该漏洞已经修复,建议将受影响产(chǎn)品升级到最新(xīn)版本或下面列出的固定版本之一:

  • Atlassian Confluence Data Center and Server 7.19.17 (LTS)

  • Atlassian Confluence Data Center and Server 8.4.5

  • Atlassian Confluence Data Center and Server 8.5.4(LTS)

  • Atlassian Confluence Data Center 8.6.2或最新(xīn)

  • Atlassian Confluence Data Center 8.7.1或最新(xīn)


参考链接

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22522

  • https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html


上一篇:Apache Struts 代码执行漏洞风险通告

下一篇:高危!Apache OFBiz未授权遠(yuǎn)程代码执行漏洞风险通告

返回列表
分(fēn)享到微信
X