CVE-2023-22527 の FAQ
全般的な情報
A critical severity Remote Code Execution (RCE) vulnerability (CVE-2023-22527) was discovered in Confluence Server and Data Center.
このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。
私の Confluence インスタンスは影響を受けますか?
This RCE (Remote Code Execution) vulnerability affects out-of-date Confluence Data Center and Server versions released before Dec. 5, 2023 as well as 8.4.5 which no longer receives backported fixes in accordance with our Security Bug Fix Policy. Atlassian recommends patching immediately to the latest version.
製品 | 影響を受けるバージョン |
|---|---|
Confluence Data Center および Server |
|
必要なアクション
すぐに最新バージョンにパッチしてください
If you are on an out-of-date version, you must immediately patch. Atlassian recommends that you patch each of your affected installations to the latest version available. Please note, the Fixed Versions listed below are no longer the most up-to-date versions and do not protect your instance from other non-critical vulnerabilities as outlined in Atlassian’s January Security Bulletin.
製品 | Fixed Versions for CVE-2023-22527 | Latest Versions recommended |
|---|---|---|
Confluence Data Center および Confluence Server |
|
|
Confluence Data Center |
|
|
注意: 8.6 以降、新しい Confluence リリースは Data Center ライセンスのみをサポートします。8.6 以降へのバージョンにアップグレードする場合、有効な Data Center ライセンスがあることを確認してください。
Is Confluence LTS version 7.19.x affected by CVE-2023-22527?
Based on the assessment performed by our security team, Confluence version 7.19.x is not affected by the critical CVE-2023-22527. However, in light of the Atlassian January Security Bulletin, we highly recommend that you upgrade your Confluence instance to the latest version 7.19.18 release. This will help protect your instance from other non-critical vulnerabilities mentioned in the Atlassian January Security Bulletin.
クラウド インスタンスは影響を受けますか?
Atlassian Cloud Instances are not affected by CVE-2023-22527. If your Confluence site is accessed via an atlassian.net domain, it is hosted by Atlassian and is not exposed to this vulnerability.
他のアトラシアン製品はこの脆弱性の影響を受けますか?
Based on current information, other Atlassian products are not affected by CVE-2023-22527. No action is required for other products to address this vulnerability. Please check the Atlassian Security Advisories page for other recent security advisories that might affect other Atlassian products you use.
当社のインスタンスはインターネットに接続されていません。
If the Confluence instance cannot be accessed from the internet the risk of exploitation is reduced, but not completely mitigated.
We still strongly recommend patching to the latest version available, as listed on the Confluence Security Advisory page for CVE-2023-22527.
I do not allow anonymous access on my public instance.
This is an unauthenticated remote code execution vulnerability, and therefore still exploitable without anonymous access enabled. Atlassian recommends patching to the latest version available, as listed on the Confluence Security Advisory page for CVE-2023-22527.
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
Yes! Instances that are not exposed to the public internet will have a reduced attack surface against CVE-2023-22527, but we strongly recommend patching to the latest version available.
I am running an affected version of Confluence. What should I do until I am able to patch it?
For customers who are unable to immediately patch their Confluence Data Center and Server instances, we recommend the following steps to reduce the risk:
1. Take your system off the internet immediately.
2. Back up the data of the instance to a secure location outside of the Confluence instance.
3. Engage your local security team to review for any potential malicious activity.
Confluence のバックアップに関するガイダンスは、本番環境バックアップ ストラテジー | Confluence Data Center とServer 8.6 | アトラシアン製品ドキュメントを確認してください。
この修正は、EOL/LTS 以外の Confluence バージョンにも含まれていますか (例えば、8.0.x)?
For critical-severity vulnerabilities (such as CVE-2023-22527), Atlassian issues Confluence bug-fix releases in line with our Security Bug Fix Policy.
ポリシーに従って、アトラシアンはサポート終了に達していない長期サポート (LTS) リリースとして指定されているバージョン (例:Confluence 7.19.x、Confluence 8.5.x) の修正をバックポートします。
Additionally, Atlassian will backport critical security fixes to all feature versions released within 6 months of the date the security fix is released. For example, Confluence 8.0.0 was released in Nov 2022. As it has been more than 6 months since that version was released, the fix will not be backported to Confluence 8.0.x.
More information is available on Atlassian's Security Bug Fix Policy document.
Are there any IOCs (Indicators of Compromise) for the exploit regarding CVE-2023-22527?
連鎖攻撃に加えて複数の侵入口が存在する可能性があるため、侵害の可能性があるすべての指標を列挙することは困難です。
Confluence インスタンスを保護するために、お客様によるアクションが直ちに必要です。
As outlined on CVE-2023-22527, it is strongly recommended that vulnerable instances be patched to the latest Long Term Support (LTS) release (or the latest version that contains the fix) immediately.
CVE-2023-22527 は、設定済みのアプリケーション トンネルまたはアプリケーション リンクに影響しますか?
アプリケーション トンネルやアプリケーション リンクには影響はありません。
社内にセキュリティ チームがない場合はどうしたら良いですか?
専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。