漏洞名称:
Atlassian-Confluence 路径遍历漏洞
漏洞描述:
2024 年 3 月 20 日,深瞳漏洞实验室监测到 Atlassian-Confluence
存在路径遍历漏洞的信息,经核实验证发现 Atlassian-Confluence 存在严重的
路径遍历漏洞。
未经身份确认的攻击者可以利用该漏洞对 Confluence 服务
器机密性,完整性和可用性造成严重影响。
漏洞编号:
CVE-2024-21677
,漏洞威胁等级:
严重
。
组件介绍:
Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业
wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信
息、文档协作、集体讨论,信息推送。
影响范围:
目前受影响的 Atlassian-Confluence 版本:
Confluence Data Center = 8.8.0
8.7.0 ≤ Confluence Data Center ≤ 8.7.2
8.6.0 ≤ Confluence Data Center ≤ 8.6.2
8.5.0 ≤ Confluence Data Center ≤ 8.5.6 (LTS)
8.4.0 ≤ Confluence Data Center ≤ 8.4.5
8.3.0 ≤ Confluence Data Center ≤ 8.3.4
1
8.2.0 ≤ Confluence Data Center ≤ 8.2.3
8.1.0 ≤ Confluence Data Center ≤ 8.1.4
8.0.0 ≤ Confluence Data Center ≤ 8.0.4
7.20.0 ≤ Confluence Data Center ≤ 7.20.3
7.19.0 (LTS) ≤ Confluence Data Center ≤ 7.19.19 (LTS)
7.18.0 ≤ Confluence Data Center ≤ 7.18.3
7.17.0 ≤ Confluence Data Center ≤ 7.17.5
Confluence Data Center ≤ 7.17.0
8.7.0 ≤ Confluence Server ≤ 8.7.2
8.6.0 ≤ Confluence Server ≤ 8.6.2
8.5.0 ≤ Confluence Server ≤ 8.5.6 (LTS)
8.4.0 ≤ Confluence Server ≤ 8.4.5
8.3.0 ≤ Confluence Server ≤ 8.3.4
8.2.0 ≤ Confluence Server ≤ 8.2.3
8.1.0 ≤ Confluence Server ≤ 8.1.4
8.0.0 ≤ Confluence Server ≤ 8.0.4
7.20.0 ≤ Confluence Server ≤ 7.20.3
7.19.0 (LTS) ≤ Confluence Server ≤ 7.19.19 (LTS)
7.18.0 ≤ Confluence Server ≤ 7.18.3
7.17.0 ≤ Confluence Server ≤ 7.17.5
Confluence Server ≤ 7.17.0
2
利用条件:
1、用户认证:无需用户认证
2、前置条件:默认配置
3、触发方式:远程
<综合评定利用难度>:简单,无需授权。
<综合评定威胁等级>:严重,能获取服务器权限。
官方解决方案
:
官方已发布修复建议,建议受影响的用户尽快将 Confluence Data Center
与 Confluence Server 升级至安全版本。如果无法升级,请将实例升级到指定
支持的固定版本之一。
1、发布说明:
https://confluence.atlassian.com/doc/confluence-release-notes-32
7.html
2、下载链接:
https://www.atlassian.com/software/confluence/download-archives