安全通告

Atlassian Confluence 权限提升漏洞预警通告

发布日期：2023-10-20

漏洞描述

2023年10月20日公司监测到Atlassian Confluence 权限提升漏洞(CVE-2023-22515)情报。Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。攻击者可以前台构造恶意请求创建管理员，从而以管理员身份登录系统，造成敏感信息泄漏等。

漏洞编号

CVE-2023-22515

漏洞危害

攻击者可以前台构造恶意请求创建管理员，从而以管理员身份登录系统，造成敏感信息泄漏等。

漏洞等级

高危
受影响版本

8.0.0 <= Atlassian Confluence < 8.3.3

8.4.0 <= Atlassian Confluence < 8.4.3

8.5.0 <= Atlassian Confluence < 8.5.2

修复方案

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.atlassian.com/zh/software/confluence/download-archives

参考链接

https://attackerkb.com/topics/Q5f0ItSzw5/cve-2023-22515/rapid7-analysis