Atlassian Confluence是企业用来组织/共享工作的流行协作wiki系统。Atlassian已为Confluence Data Center和Server 7.19.16、8.3.4、8.4.4、8.5.3和8.6.1之前的所有受支持版本发布补丁,并强烈建议客户立即应用补丁。
澳大利亚领先的软件公司Atlassian已针对一个关键安全漏洞发布了紧急补丁,该漏洞可能允许未经身份验证的行为者利用该漏洞造成“重大数据丢失”。 该公司本周发布了一份 公告,在国家支持的黑客最近试图针对其产品后向客户发出警告。该漏洞在漏洞严重性评分系统上的评分为9.1分(满分10分),并被跟踪为CVE-2023-22518。
该漏洞是一个不正确的授权缺陷,允许攻击者访问用户帐户、密码和机密信息等敏感数据。根据该公司的公告,该缺陷影响Atlassian Confluence数据中心和服务器的本地版本。
供您参考,Atlassian Confluence是企业用来组织/共享工作的流行协作wiki系统。几周前,它成为政府支持的黑客的攻击目标。他们利用该漏洞与另一个最大评级为10.0的漏洞来危害Atlassian客户。
Atlassian已为Confluence Data Center和Server 7.19.16、8.3.4、8.4.4、8.5.3和8.6.1之前的所有受支持版本发布补丁,并强烈建议客户立即应用补丁。该公司尚未透露有关该缺陷的更多细节。
“支持窗口之外的版本(即已达到生命周期结束的版本)也可能会受到影响,因此Atlassian建议您升级到固定的LTS版本或更高版本。Atlassian Cloud站点不受此漏洞的影响。如果您的Confluence站点是通过atlassian.net域访问的,则该站点由Atlassian托管,并且不易受到此问题的影响。” 阿特拉斯表示。
该公司声称,截至10月31日,尚未收到该漏洞被积极利用的报告。此外,Atlassian指出,数据机密性不会受到影响,因为攻击者无法泄露“任何实例数据”。
但是,它已要求所有可公开访问的本地Confluence产品的用户进行升级。建议无法立即修补的管理员创建备份并暂时从互联网上删除该产品,以限制来自外部网络的访问,直到修补为止。
该公告中还包括来自Atlassian首席信息安全官Bala Sathaimurthy的消息,他表示客户应“立即采取行动”。除了安装安全补丁外,他们还必须为所有Confluence帐户使用强密码并保持Confluence产品更新。他们必须定期监控Confluence活动,以及时发现可疑行为,并且只允许授权人员访问Confluence。
评论已关闭。