CVE-2023-22522 - Confluence Data Center および Confluence Server に RCE の脆弱性

脆弱性の概要

このテンプレート インジェクションの脆弱性により、認証された攻撃者 (匿名アクセスを持つ者を含む) が安全でないユーザー入力を Confluence ページに挿入することができます。このアプローチを使用すると、攻撃者は影響を受けるインスタンスで RCE を実行できます。下記に記載されている Confluence Data Center および Server のバージョンはリスクがあり、早急な対応が必要です。詳細な手順については「必要なアクション」を参照してください。

深刻度

アトラシアンはこの脆弱性の深刻度レベルを社内の評価にしたがって「クリティカル (critical)」と評価しています (9.0 と次のベクトル CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)。これはアトラシアンの評価であり、お客様自身で自社の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

この RCE (リモート コード実行) の脆弱性は、Confluence Data Center および Server の 4. 0.0 以上のすべてのバージョンに影響します。アトラシアンは、最新バージョンまたは修正 LTS バージョンへのパッチを推奨します。

必要なアクション

すぐに修正版バージョンにパッチ適用してください

アトラシアンは、影響を受ける各インストールを最新バージョンまたは以下にリストアップされている修正バージョンのいずれかにパッチすることを推奨します。

パッチを適用できない場合は、一時的な緩和策を適用してください

現在のところ軽減策はありませんが、次の対応をお勧めします。

• インスタンスのバックアップを取る(手順: https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html)
• パッチを適用できるようになるまで、インターネットからインスタンスを取り除いてください。 ユーザー認証のあるものを含む、パブリック インターネットにアクセスできるインスタンスは、パッチが適用されるまで外部ネットワークへのアクセスを制限する必要があります。

注意: インスタンスを公共インターネットに戻す前に、最新の修正バージョンを適用してください。

よくある質問 (FAQ)

詳細については、よくある質問 (FAQ) ページをご確認ください。

サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてテクニカル アラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/contact/#/ からサポート リクエストを起票ください。

参考