CVE-2023-22522 - Confluence Data Center および Confluence Server に RCE の脆弱性

セキュリティ アドバイザリーおよびセキュリティ情報

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Atlassian Cloud サイトはこの脆弱性の影響を受けません。 ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。

要約CVE-2023-22522 - Confluence Data Center および Server に RCE の脆弱性
勧告のリリース日2023 年 12 月 05 日 (火) 21:00 PST
製品
  • Confluence Data Center
  • Confluence Server
CVE IDCVE-2023-22522
関連する Jira チケット



脆弱性の概要

このテンプレート インジェクションの脆弱性により、認証された攻撃者 (匿名アクセスを持つ者を含む) が安全でないユーザー入力を Confluence ページに挿入することができます。このアプローチを使用すると、攻撃者は影響を受けるインスタンスで RCE を実行できます。下記に記載されている Confluence Data Center および Server のバージョンはリスクがあり、早急な対応が必要です。詳細な手順については「必要なアクション」を参照してください。

深刻度

アトラシアンはこの脆弱性の深刻度レベルを社内の評価にしたがって「クリティカル (critical)」と評価しています (9.0 と次のベクトル CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)。これはアトラシアンの評価であり、お客様自身で自社の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

この RCE (リモート コード実行) の脆弱性は、Confluence Data Center および Server の 4. 0.0 以上のすべてのバージョンに影響します。アトラシアンは、最新バージョンまたは修正 LTS バージョンへのパッチを推奨します。

製品影響を受けるバージョン
Confluence Data Center および Server

  • 4.x.x

  • 5.x.x

  • 6.x.x

  • 7.x.x

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.0

  • 8.4.1

  • 8.4.2

  • 8.4.3

  • 8.4.4

  • 8.5.0

  • 8.5.1

  • 8.5.2

  • 8.5.3

Confluence Data Center

  • 8.6.0

  • 8.6.1

必要なアクション

すぐに修正版バージョンにパッチ適用してください

アトラシアンは、影響を受ける各インストールを最新バージョンまたは以下にリストアップされている修正バージョンのいずれかにパッチすることを推奨します。

製品修正済みバージョン
Confluence Data Center および Server

  • 7.19.17 (LTS)

  • 8.4.5

  • 8.5.4 (LTS)

Confluence Data Center

  • 8.6.2 以上 (Data Center のみ)

  • 8.7.1 以上 (Data Center のみ)

パッチを適用できない場合は、一時的な緩和策を適用してください

現在のところ軽減策はありませんが、次の対応をお勧めします。

  • インスタンスのバックアップを取る(手順: https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html)
  • パッチを適用できるようになるまで、インターネットからインスタンスを取り除いてください。 ユーザー認証のあるものを含む、パブリック インターネットにアクセスできるインスタンスは、パッチが適用されるまで外部ネットワークへのアクセスを制限する必要があります。

注意: インスタンスを公共インターネットに戻す前に、最新の修正バージョンを適用してください。


よくある質問 (FAQ)

詳細については、よくある質問 (FAQ) ページをご確認ください。

サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてテクニカル アラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/contact/#/ からサポート リクエストを起票ください。

参考

セキュリティ バグ修正ポリシー弊社の新しいポリシーに従い、重要なセキュリティ バグの修正はバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。
セキュリティ問題の深刻度アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。
最終更新日: 2023 年 12 月 19 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.