漏洞简单介绍: 管理员接口缺少认证。导致管理员页面和结构无需任何用户认证。能够被任意匿名用户访问。 目前已经发现的有。利用数据备份和恢复接口清空数据的。 可以上传插件达到 webshell 的。 我自己随便搭着玩的 数据全部被加密,已经中了勒索了。
各位要是有用的赶紧升级系统。或者临时按照官方的做法修补一下。
链接: https://xz.aliyun.com/t/12961 链接: https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
 | 1 uh Nov 16, 2023 怪吓人的,不过看起来如果公司是内网部署而且有 SSO 认证,应该不会中招吧 |
 | 2 7lQM1uTy635LOmbu Nov 17, 2023 via Android 感谢提醒,明天升级 |
 | 3 slowgen Nov 17, 2023  2 见怪不怪了,这种多漏洞的 web 应用,部署的时候都是前置一个网关放个 basic auth 或者扫码登录啥的,过了前置认证再进入真正的 web 应用,防止 0day 出来时直接被干 |
 | 4 mengdodo Nov 17, 2023 atlassian 家的套件太笨重,我等小公司不配使用 |
 | 5 somewheve Nov 17, 2023 hhhhh 笑死了 我朋友就已经中招了 ~~~ |
 | 6 spediacn Nov 23, 2023 via iPhone 只能说作者真的吃相难看了,这种低级问题都能发生。肯定是罗马尼亚人写的程序。哈哈 |
 | 7 wuhao Mar 20, 2024 中招了,全部数据挂了,全部被勒索病毒了,要两三万,到现在没支付,经常因此收到困扰,很多东西在里面,有人能帮忙吗 ? |
Select Language