近日,国家信息安全漏洞库(CNNVD)收到关于Atlassian Confluence 安全漏洞(CNNVD-202405-4060、CVE-2024-21683)情况的报送。经过身份认证的远程攻击者通过构造特殊的请求,可在目标服务器执行任意代码。Atlassian Confluence多个版本均受此漏洞影响。目前,Atlassian官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、漏洞介绍
Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。经过身份认证的远程攻击者通过构造特殊的请求,利用该漏洞可以执行任意代码,对目标系统的机密性、完整性和可用性造成影响。
二、危害影响
Atlassian Confluence Data Center 8.9.0版本、Atlassian Confluence Data Center 8.8.0-8.8.1版本、8.7.1-8.7.2版本、8.6.0-8.6.2版本、8.5.0- 8.5.8(LTS) 版本、8.4.0-8.4.5版本、8.3.0-8.3.4版本、8.2.0-8.2.3版本、8.1.0-8.1.4版本、7.20.0-7.20.3版本、7.19.0-7.19.21(LTS) 版本、Atlassian Confluence Server 8.6.0-8.6.2版本、8.5.0- 8.5.8(LTS) 版本、8.4.0-8.4.5版本、8.3.0-8.3.4版本、8.2.0-8.2.3版本、8.1.0-8.1.4版本、7.20.0-7.20.3版本、7.19.0-7.19.21(LTS)版本均受该漏洞影响。
三、修复建议
目前,Atlassian官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://jira.atlassian.com/browse/CONFSERVER-95832
本通报由CNNVD技术支撑单位——北京华云安信息技术有限公司、三六零数字安全科技集团有限公司、深信服科技股份有限公司、奇安信网神信息技术(北京)股份有限公司、星云博创科技有限公司等技术支撑单位提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvdvul@itsec.gov.cn