Confluence Data Center/Server RCE 脆弱性 CVE-2023-22527 2024-01-16 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2024年1月16日時点の情報です)
目次
Confluence Data Center/Server RCE 脆弱性 CVE-2023-22527
要約 | Confluence Data Center/Server RCE 脆弱性 CVE-2023-22527 |
|---|---|
アドバイザリのリリース日 | Jan 16, 2024 午後 3時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2023-22527 |
Atlassian 社の不具合チケット |
脆弱性の説明
このテンプレートインジェクションの脆弱性は、 認証していない攻撃者が影響を受けるバージョン上で RCE (リモートコード実行) を達成できます。影響を受けるバージョンの Confluence Data Center/Server を使用している場合は早急に対処する必要があります。
以下の「影響を受けるバージョン」の Confluence Data Center/Server はリスク下にあり、早急な対処が必要です。
Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の問題はありません。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
この RCE (リモートコード実行) 脆弱性は Confluence Data Center/Server の 2023年12月5日 以前にリリースされたすべての ver.8.x に影響します。Atlassian 社の セキュリティーバグ修正ポリシーに従ってバックポートされた修正を対応しない ver.8.4.5 も同様です。
Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。
製品 | 影響を受けるバージョン |
|---|---|
Confluence Data Center/Server |
|
必要なアクション
対応策
ただちに Confluence Server/Data Center を修正済みバージョンへアップグレードしてください。
Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。
修正済みバージョン
製品 | 修正済みバージョン | 最新バージョン |
|---|---|---|
Confluence Data Center |
|
|
Confluence Server |
|
|
緩和策
緩和策はないため、本脆弱性を修正するには、製品を修正済みバージョンか最新バージョンへアップデートしてください。
FAQ
Atlassian 社が作成しました FAQ 記事は以下をご参照ください。
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ