CVE-2023-22527 - Confluence Data Center および Confluence Server に RCE (リモート コード実行) の脆弱性

セキュリティ アドバイザリーおよびセキュリティ情報

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Atlassian Cloud サイトはこの脆弱性の影響を受けません。ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません



要約CVE-2023-22527 - Confluence Data Center および Server の古いバージョンに RCE (リモート コード実行) の脆弱性
勧告のリリース日2024 年 1 月 16 日 (火) 01:00 EST
製品
  • Confluence Data Center
  • Confluence Server
CVE IDCVE-2023-22527
関連する Jira チケット


脆弱性の概要


Confluence Data Center および Server の古いバージョンにテンプレート インジェクションの脆弱性があり、認証されていない攻撃者が、影響を受ける対象バージョンで RCE を実行する可能性があります。影響を受ける対象バージョンを使用しているお客様は、直ちに対応が必要です。

Confluence Data Center および Server の最新サポート バージョンは、この脆弱性の影響を受けません。定期的な更新によって最終的に緩和されているためです。ただし、アトラシアンは、インスタンスをアトラシアンの 1 月のセキュリティ情報に記載の、重大ではない (non-critical) 脆弱性から保護するために、最新バージョンをインストールすることを推奨します。

詳細な手順については「必要なアクション」を参照してください。


深刻度

アトラシアンはこの脆弱性の深刻度レベルを社内の評価にしたがって「クリティカル (critical)」と評価しています (10.0と次のベクトル CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)。これはアトラシアンの評価であり、お客様自身で自社の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

この RCE (リモートコード実行) の脆弱性は、2023 年 12 月 5 日以前にリリースされた、Confluence Data Center および Server 8 の古いバージョン、および、アトラシアンのセキュリティ バグ修正ポリシーに従って修正のバックポートを受けなくなった 8.4.5 に影響します。アトラシアンでは最新バージョンへのパッチを推奨しています。

注意: 7.19 .x LTS バージョンはこの脆弱性影響を受けません

製品影響を受けるバージョン
Confluence Data Center および Server
  • 8.0.x
  • 8.1.x
  • 8.2.x
  • 8.3.x
  • 8.4.x
  • 8.5.0 〜 8.5.3

必要なアクション

すぐに最新バージョンにパッチしてください

古いバージョンを使用している場合は、すぐにパッチを適用する必要があります。アトラシアンは、影響を受ける対象の各インストールに利用可能な最新バージョンにパッチすることを推奨しています。記載されている修正バージョンは最新ではなくなっており、アトラシアンの 1 月のセキュリティ情報で説明されている通り他の重大ではない脆弱性からインスタンスを保護できません。

製品修正済みバージョン最新バージョン
Confluence Data Center および Server
  • 8.5.4 (LTS)

  • 8.5.5 (LTS)

Confluence Data Center
  • 8.6.0 (Data Center のみ)
  • 8.7.1 (Data Center のみ)
  • 8.7.2 (Data Center のみ)

緩和策

既知の回避策はありません。この脆弱性を修正するには、影響を受ける個々の製品インストールを最新のバージョンに更新してください。

謝辞

この脆弱性は Petrius Viet によって発見され、当社のバグ報奨金プログラムで報告されました。

サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてテクニカル アラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/contact/#/ からサポート リクエストを起票ください。

よくある質問 (FAQ)

詳細については、よくある質問 (FAQ) ページをご確認ください。


参考

セキュリティ バグ修正ポリシー弊社の新しいポリシーに従い、重要なセキュリティ バグの修正はバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。
セキュリティ問題の深刻度アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。
最終更新日: 2024 年 1 月 16 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.