漏洞简单介绍: 管理员接口缺少认证。导致管理员页面和结构无需任何用户认证。能够被任意匿名用户访问。 目前已经发现的有。利用数据备份和恢复接口清空数据的。 可以上传插件达到 webshell 的。 我自己随便搭着玩的 数据全部被加密,已经中了勒索了。
各位要是有用的赶紧升级系统。或者临时按照官方的做法修补一下。
链接: https://xz.aliyun.com/t/12961 链接: https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
1
titanhw 2023-11-16 23:06:24 +08:00
怪吓人的,不过看起来如果公司是内网部署而且有 SSO 认证,应该不会中招吧
|
2
7lQM1uTy635LOmbu 2023-11-17 00:09:21 +08:00 via Android
感谢提醒,明天升级
|
3
shuimugan 2023-11-17 05:43:24 +08:00 2
见怪不怪了,这种多漏洞的 web 应用,部署的时候都是前置一个网关放个 basic auth 或者扫码登录啥的,过了前置认证再进入真正的 web 应用,防止 0day 出来时直接被干
|
4
mengdodo 2023-11-17 08:33:49 +08:00
atlassian 家的套件太笨重,我等小公司不配使用😄
|
5
somewheve 2023-11-17 09:45:39 +08:00
hhhhh 笑死了 我朋友就已经中招了 ~~~
|
6
spediacn 2023-11-23 14:41:20 +08:00 via iPhone
只能说作者真的吃相难看了,这种低级问题都能发生。肯定是罗马尼亚人写的程序。哈哈
|
7
wuhao 282 天前
中招了,全部数据挂了,全部被勒索病毒了,要两三万,到现在没支付,经常因此收到困扰,很多东西在里面,有人能帮忙吗
? |