2024年3月21日,网上更新披露了一个Atlassian Confluence 路径遍历漏洞(CVE-2024-21677),请各位用户尽快安装漏洞补丁。
漏洞风险:此高危路径遍历漏洞在Confluence Data Center 6.13.0版本中引入。这个路径遍历漏洞具有8.3的CVSS评分,允许未经身份验证的攻击者利用一个不可定义的漏洞,对机密性、完整性和可用性造成高度影响,需要用户交互。
风险等级:高风险。
影响范围:
Confluence Data Center 8.8.0
8.7.0 <= Confluence Data Center <= 8.7.2
8.6.0 <= Confluence Data Center <= 8.6.2
8.5.0 <= Confluence Data Center <= 8.5.6 (LTS)
8.4.0 <= Confluence Data Center <= 8.4.5
8.3.0 <= Confluence Data Center <= 8.3.4
8.2.0 <= Confluence Data Center <= 8.2.3
8.1.0 <= Confluence Data Center <= 8.1.4
8.0.0 <= Confluence Data Center <= 8.0.4
7.20.0 <= Confluence Data Center <= 7.20.3
7.19.0 (LTS) <= Confluence Data Center <= 7.19.19 (LTS)
7.18.0 <= Confluence Data Center <= 7.18.3
7.17.0 <= Confluence Data Center <= 7.17.5
Confluence Data Center <= 7.17.0
8.7.0 <= Confluence Server <= 8.7.2
8.6.0 <= Confluence Server <= 8.6.2
8.5.0 <= Confluence Server <= 8.5.6 (LTS)
8.4.0 <= Confluence Server <= 8.4.5
8.3.0 <= Confluence Server <= 8.3.4
8.2.0 <= Confluence Server <= 8.2.3
8.1.0 <= Confluence Server <= 8.1.4
8.0.0 <= Confluence Server <= 8.0.4
7.20.0 <= Confluence Server <= 7.20.3
7.19.0 (LTS) <= Confluence Server <= 7.19.19 (LTS)
7.18.0 <= Confluence Server <= 7.18.3
7.17.0 <= Confluence Server <= 7.17.5
Confluence Server <= 7.17.0
修复建议:
Atlassian建议Confluence Data Center和Server客户升级到最新版本,如果无法升级,请将实例升级到指定的支持修复版本之一。Data Center Atlassian建议Confluence Data Center客户升级到最新版本,Confluence Server客户升级到最新的8.5.x LTS版本。
进行安全更新方法:
https://jira.atlassian.com/browse/CONFSERVER-94604
