漏洞背景

近日，嘉诚安全监测到Atlassian Confluence存在远程代码执行漏洞，漏洞编号为：CVE-2023-22522。

Confluence是Atlassian公司开发的一款专业的企业知识管理与协同软件，可用于构建企业wiki。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为高危漏洞。由于对用户输入过滤不严格，经过身份验证的威胁者（包括具有匿名访问权限的威胁者）可向Confluence 页面注入恶意数据，成功利用该漏洞可能在受影响的实例上导致远程代码执行。

危害影响

影响版本

Atlassian  Confluence Data Center和Confluence Server：

5.x.x、6.x.x、7.x.x、8.0.x、8.1.x、8.2.x、8.3.x、8.4.0、8.4.1、8.4.2、8.4.3、8.4.4、8.5.0、8.5.1、8.5.2、8.5.3

Confluence  Data Center：

8.6.0、8.6.1

修复建议

根据影响版本中的信息，建议相关用户将Atlassian  Confluence Data Center和Confluence Server升级至7.19.17  (LTS)、8.4.5、8.5.4 (LTS)；将Confluence  Data Center升级至8.6.2、8.7.1及更高版本(仅Data Center)，参考链接：

https://www.atlassian.com/software/confluence/download-archives