この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)
目次
Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522
要約 | Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522 |
|---|---|
アドバイザリのリリース日 | 午後 2時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2023-22522 |
Atlassian 社の不具合チケット |
脆弱性の説明
このテンプレートインジェクションの脆弱性は、匿名アクセスを含む認証済みの攻撃者が、安全でないユーザ入力を Confluence ページに注入することを許容します。このアプローチを使用すると、攻撃者は影響を受けるインスタンス上で RCE(リモートコード実行) を達成することができます。
以下の Confluence Data Center and Server の影響を受けるバージョンはリスク下にあり、早急な対処が必要です。
Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の問題はありません。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
この RCE (リモートコード実行) 脆弱性は Confluence Data Center および Confluence Server の 4.0.0 以降のすべてのバージョンに影響します。Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。
製品 | 影響を受けるバージョン |
|---|---|
Confluence Data Center and Server |
|
Confluence Data Center |
|
必要なアクション
対応策
ただちに Confluence Server/Data Center を修正済みバージョンへアップグレードしてください。
Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。
修正済みバージョン
製品 | 修正済みバージョン |
|---|---|
Confluence Data Center and Server |
|
Confluence Data Center |
|
軽減策
現時点では軽減策はございません。しかし、以下のことをおすすめします。
インスタンスのバックアップ(本番環境バックアップ ストラテジー)
アップグレードをするまで、インスタンスをインターネットから除外する。アップグレードをするまで、公共のインターネットにアクセス可能なインスタンス(ユーザー認証を含む)は、外部ネットワークからのアクセスを制限する必要があります。
注:インスタンスを公共のインターネットにリストアする前に、最新の修正済みバージョンを適用する必要があります。
FAQ
Atlassian 社が作成しました FAQの記事は以下をご参照ください。
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。