漏洞描述
此模板注入漏洞允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将不安全的用户输入注入Confluence页面。使用这种方法,攻击者能够在受影响的实例上远程执行代码。下面列出的Confluence版本存在风险,需要立即关注。有关详细说明,请参阅下方的“如何修复”章节。
严重性
根据Atlassian的内部评估,该漏洞的严重程度评为critical(9.0,很严重)。
这是Atlassian的评估,用户应该评估它对自己的IT环境的适用性。
影响的版本
此远程代码执行漏洞影响Confluence Data Center和Server 4.0.0及以后的所有版本。Atlassian建议修补到最新版本或修复后的LTS版本。
| 产品 | 影响的版本 |
|---|
| Confluence Data Center and Server | 4.x.x 5.x.x 6.x.x 7.x.x 8.0.x 8.1.x 8.2.x 8.3.x 8.4.0 8.4.1 8.4.2 8.4.3 8.4.4 8.5.0 8.5.1 8.5.2 8.5.3
|
| Confluence Data Center | |
如何修复
立即升级到被修复版本
Atlassian建议将所有受影响的Confluence实例升级到最新版本或下面列出的被修复版本之上。
| 产品 | 修复的版本 |
|---|
| Confluence Data Center和Server | 7.19.17 (LTS版本) 8.4.5 8.5.4 (LTS版本)
|
| Confluence Data Center | 8.6.2或以上(Data Center) 8.7.1或以上 (Data Center)
|
如果无法升级,需要采取临时缓解措施
我们建议:
- 加大备份频率。(非常重要。如被攻击,还有可恢复的手段)
- 断开互联网公网访问。在进行升级修复之前,应断开来自公共互联网的实例访问。
常见问题
更多详细信息,可参考:Frequently Asked Questions (FAQ) page.
技术支持
如果您有任何问题可以联系Atlassian技术支持:https://support.atlassian.com/contact/#/。
如果您是北京范德敏特科技的客户,您可以联系您的技术服务经理,或访问北京范德敏特科技官网:https://www.devpod.cn/contact/。