关键零日漏洞：Atlassian Confluence Server 和 Confluence Datacenter

新闻稿 | 2022年6月3日 | 15:49

软件公司 Atlassian 于6月2日发布了一份关于先前未知的关键漏洞（CVE-2022-26134）的公告，即所谓的零日漏洞。该漏洞涉及 Atlassian Confluence Server 和 Confluence Datacenter 的所有受支持版本。根据 Atlassian 的说法，这不涉及 Atlassian Cloud。

NCSC-NL 发布了一份公告，将该漏洞评级为高/高风险。目前尚无补丁可用。

该漏洞允许未经认证的攻击者远程执行代码并访问系统范围内的敏感信息。尽管 Atlassian 仍需确定最早受影响的版本，但所有版本很可能都受到影响。概念验证代码尚未公开。

据发现该漏洞的安全公司 Volexity 称，该漏洞易于利用。Volexity 也确认了有限的利用行为。

缓解措施

Atlassian 正在努力在24小时内为受支持版本提供补丁（太平洋夏令时间6月3日结束前）。NCSC-NL 建议在补丁可用后立即实施这些更新。同时，Atlassian 建议采取其他缓解措施以降低整体风险。

Atlassian 建议限制从互联网访问 Confluence Server 和 Data Center 实例，或者在补丁可用之前完全禁用 Confluence Server 和 Data Center 实例。如果无法做到这一点，可以实施 Web 应用程序防火墙（WAF）规则来阻止包含 ${ 的 URL，这可能会降低风险。同时建议进行网络监控。Volexity 已共享了 IOC 和 YARA 规则。

NCSC-NL 建议尽可能遵循这些缓解措施。各组织需要自行评估这可能对其运营流程产生的影响。NCSC-NL 将继续监控情况，并在此网站上发布更多相关信息。