「Atlassian Confluence」の旧版に深刻な脆弱性 - 修正版に更新を

Atlassianが提供する「Confluence Server」「Confluence Data Center」の旧バージョンに深刻な脆弱性が明らかとなった。アップデートが呼びかけられている。

認証なしにリモートよりコードの実行が可能となる「テンプレートインジェクション」の脆弱性「CVE-2023-22527」が明らかとなったもの。現地時間1月16日にセキュリティアドバイザリを公開し、明らかにした。

共通脆弱性評価システム「CVSSv3.0」におけるベーススコアは、最高値の「10」と評価されており、重要度はもっとも高い「クリティカル（Critical）」とレーティングされている。

2023年12月5日より前にリリースされた「同8」系に影響がある。最新版に関しては、定期的な更新を通じて影響が緩和されてきたため、同脆弱性の影響は受けないという。

同社は影響を受けるバージョンを使用している場合は、対策を即時講じる必要があるとして注意を喚起した。

脆弱性が修正されている「Confluence Server 8.5.5」「同8.5.4」および「Confluence Data Center 8.7.2」「同8.7.1」「同8.6.0」「同8.5.5」「同8.5.4」以降へ更新するよう求めるとともに、2024年1月にリリースされた最新版へのアップデートなども検討するよう呼びかけている。

（Security NEXT - 2024/01/17 ） ツイート

PR

関連記事

X線読影システムのランサム被害、VPN経由で侵入 - 埼玉県健康づくり事業団
小学校と中学校で個人情報の紛失が判明 - 尼崎市
学生の就活支援アプリ「OfferBox」に一時脆弱性 - すでに解消済み
メール「CC」送信で会員企業のメアド流出 - いばらき量子線利活用協議会
「iTunes for Windows」に脆弱性 - アップデートで修正
法人カード利用企業の情報をメールで誤送信 - UPSIDER
国内で「Mirai」とは異なるボットネットの動きが加速
軽量プロクシ「Tinyproxy」に脆弱性 - 報告者と開発者に溝
グリコ、冷蔵食品の出荷再開を延期 - 約150億円の売上減を予想
東急のネットワークにサイバー攻撃 - グループ会社から情報流出