Atlassian Warns of New Critical Confluence Vulnerability Threatening Data Loss
2023/10/31 TheHackerNews — Atlassian は、Confluence Confluence Data Center/Confluence Server に存在する深刻な脆弱性について公表し、この脆弱性が未認証の攻撃者に悪用された場合に、重大なデータ損失につながる可能性があると警告している。この脆弱性 CVE-2023-22518 (CVSS:9.1) は、”不適切な権限付与の脆弱性” と説明されている。
この脆弱性の影響を受けるのは Confluence Data Center/Confluence Server の全てのバージョンであり、以下のバージョンで対処されている。
- 7.19.16 以降
- 8.3.4 以降
- 8.4.4 以降
- 8.5.3 以降
- 8.6.1 以降
Atlassian は、「攻撃者による、インスタンス・データの流出にはつながらないため、機密性への影響はない」と述べている。
直ちにパッチ適用できない場合の緩和策として、同社が推奨しているのは、パブリックなインターネット・アクセスが可能なインスタンスを切断することだ。
また、サポート期間外のバージョンを使用しているユーザーに対しては、修正バージョンへのアップグレードが推奨されている。なお、Atlassian Cloud サイトは、この問題の影響を受けない。
野放し状態で積極的に悪用されている証拠はないが、先日に公表された CVE-2023-22515 を含めて、以前に発見された同社のソフトウェアの脆弱性は、脅威アクターたちにより武器化されている。
この脆弱性に関する他の情報や、この脆弱性を悪用する脅威アクターたちの正確な手法は明らかにされていないが、悪用されるのは時間の問題だろう。
Atlassian Confluence に脆弱性が発生しました。つい先日の 2023/10/11 にも、「Atlassian Confluence の脆弱性 CVE-2023-22515:APT による攻撃を Microsoft が警告」という記事がポストされていました。よろしければ、Atlassian で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.