Atlassian发现了一个公共漏洞

翻译 已于 2023-11-06 16:17:03 修改 · 1.1k 阅读 · 0
文章标签:

#安全 #网络

于 2023-11-06 16:16:39 首次发布
软件供应商Atlassian发现并警告一个高危漏洞(CVE-2023-22518),影响Confluence数据中心和服务器,可能导致数据擦除。建议立即修补或采取临时防护措施,Confluence作为远程协作工具已成攻击目标。

软件供应商Atlassian发现了最近发布的一个关键漏洞公开发布的关键信息,这增加了该漏洞在野外被利用的可能性。

这家澳大利亚开发商上周四发布的简短更新称,他们是在对流行的Confluence工作空间工具的漏洞进行持续监控时发现这一漏洞的。

该公司敦促称:“目前还没有活跃漏洞的报告,但客户必须立即采取行动保护自己的实例。”

该软件漏洞(CVE-2023-22518)被列为影响所有版本的Confluence数据中心和服务器的不正当授权漏洞,尽管通过Atlassian官网访问的Atlassian Cloud站点不受影响。

该漏洞的CVSS评分为9.1,对于在其组织中管理该软件的任何系统管理员来说,应该优先将其挑出来修补。

尽管CVE不会使攻击者泄露公司数据,但它可以允许攻击者擦除他们在受影响的Confluence环境中找到的任何数据。

Atlassian首席信息安全官Bala Sathiamurthy警告说,未经身份验证的攻击者可能会导致重大数据丢失。

如果组织无法打补丁,则鼓励他们备份他们的实例。从互联网上删除实例,直到可以打补丁,甚至包括需要用户身份验证的实例。以及应用几个列出的措施来阻止三个关键端点上的访问。

近年来,随着用户纷纷使用其Confluence产品进行远程协作,Atlassian已成为越来越受欢迎的攻击目标。

在2022年8月,威胁参与者被发现利用产品中的CVE-2022-26134部署了一个针对多个未命名组织的新后门。

10月,美国政府机构敦促客户修补Confluence数据中心和服务器中的一个严重的身份验证和会话管理漏洞(CVE-2023-22515)。

卡饭科技
关注
Atlassian Confluence 远程代码执行漏洞分析(CVE-2023-22518)
hackzkaq的博客
11-09 1316
由于漏洞易于利用且具有严重破坏性(导致数据丢失), 因此本文章中不会公开该漏洞的利用程序. 感兴趣的读者, 可以按照文章中的思路来复现该漏洞. 请注意, 本文仅供学习目的使用.
Confluence身份认证绕过(CVE-2023-22518)
swordheart的博客
05-17 317
CVE-2023-22518Atlassian Confluence Server和Data Center中的一个严重漏洞,允许未经身份验证的远程攻击者通过构造恶意请求绕过身份验证,进而接管服务器并执行远程代码。
Atlassian Confluence身份认证绕过(CVE-2023-22518
weixin_53523921的博客
11-01 3929
2023年10月31日,Atlassian发布了Confluence的风险通告,漏洞编号为高危8.5。是一个团队工作区,它的主要功能是创建、收集和协同处理任何项目或创意。它是一个知识与协作的融合平台,为团队成员提供一个协作环境,可以齐心协力,各擅其能,协同地编写文档和管理项目。漏洞存在于Atlassian Confluence Data Center & Server 中。
Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失
smellycat000的专栏
11-01 784
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士澳大利亚软件公司 Atlassian 提醒管理员,应立即修复暴露在互联网的 Confluence 实例,其中包含的严重漏洞CVE-2023-22518如遭成功利用可导致数据丢失。该漏洞一个授权不当漏洞,影响 Confluence Data Center 和 Confluence Server 软件的所有版本,编号是CVE-2023-22518,...
Atlassian Confluence 身份认证绕过CVE-2023-22518/22515
2301_80115097的博客
11-14 653
总得来说这漏洞一个自爆式百分百损失的漏洞,你假如想用,那么就拿不到服务器那边原来的数据,而我们打Confluence的站一般都是去看他的文库数据,而不是获取这个站点的shell,这是一种比较极端的利用方式,不太建议使用,除非已知文库没啥东西,就是想要这个shell。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
Jira漏洞CVE-2019-8449详细分析与exploit利用
CVSS(公共漏洞评分系统)评分为5.0,该分数虽然不是非常高,但足以引起安全团队的注意。 #### 影响范围 漏洞影响的版本范围包括了从2.1到8.3.4的所有Jira版本。如果Jira服务器没有及时更新到8.3.4或更高版本,则都...
公共代码仓库的构建与管理技巧
根据这些信息,我们可以推断所讨论的可能是一个公共代码库的相关知识点,因此接下来将详细解释公共代码库的概念、重要性、常见平台及最佳实践。 公共代码库,顾名思义,是一种开放给任何开发者访问和贡献的代码仓库...
深入探讨公共笔记在开发工作流中的应用
- Bitbucket是由Atlassian公司提供的一个基于Git的源代码托管服务,除了与GitHub类似的基础功能外,它还允许私有仓库的免费使用,适合对代码隐私有更高要求的团队。 - Bitbucket提供了代码审查工具和问题跟踪系统,...
包含baidu-sdk与Oracle JDBC的Jar包合集
这是Oracle数据库的JDBC驱动程序的一个特定版本,用于在Java应用程序中连接和操作Oracle 11g Release 2(即11.2.0.4.0)数据库。JDBC(Java Database Connectivity)是Java标准中用于与关系型数据库交互的核心API,...
Python自动化测试实战:用例设计与管理的5个高效技巧
!...# 1. Python自动化测试概览与重要性 自动化测试作为提高软件开发效率...本章旨在为读者提供一个Python自动化测试的全局概览,并分析其在现代软件工程中的重要性。 在深入细节之前,我们将首先了解自动化测试的基本概
网络安全日报 2023年11月07日
Galaxy_0的博客
11-07 1404
最近在 GNU C 库 (glibc) 中修补的一个严重权限升级漏洞已被一个以使用 Kinsing 恶意软件及其加密劫持操作而闻名的威胁组织用于云攻击。该安全漏洞编号为 CVE-2023-4911,名为Looney Tunables,已被发现影响主要 Linux 发行版,包括 Debian、Gentoo、Red Hat 和 Ubuntu。它允许本地攻击者以提升的权限执行任意代码。
漏洞复现-Atlassian Confluence Data Center 与 Server 存在权限绕过漏洞 (CVE-2023-22518)
玄道的网安博客
08-11 1307
通过/json路由前缀可以直接访问到/setup和/admin namespace里定义的接口,而WebSudoInterceptor又默认认为/json路由下的接口不需要管理员二次登录,仅在接口方法有WebSudoRequired注解时需管理员二次登录。WebSudoInterceptor首先获取请求的url,如果接口url以/admin/开头,则接口默认需要管理员二次登录,仅在接口方法有WebSudoNotRequired注解时无需管理员二次登录。官方已修复该漏洞,建议用户按照官方修复步骤。
Confluence 漏洞复现(CVE-2023-22515,CVE-2023-22518
huangyongkang666的博客
11-09 2603
Confluence 漏洞复现(CVE-2023-22515,CVE-2023-22518
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
热门推荐
网络空间安全学习
09-19 1万+
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
小白如何挖到自己的第一个漏洞
记录开发和安全学习过程中的点点滴滴
04-08 1613
弱口令漏洞是由于使用简单或容易猜测的密码而引起的安全缺陷,它使得攻击者能够通过轻易暴力破解密码,进行登录后台或者用户从而获得未授权访问权限,可能导致数据泄露和接管后台系统等其他安全事件,简单来说,拿到对应权限的账号,从而能够进行操作和使用的权限越大,其实对于弱口令挖掘来说,最基础的就是尝试弱口令,当然如果要进行进一步测试的话,爆破密码只是很简单的一只种,还可以通过在各种例如抖音,小红书,甚至QQ群,公众号等进行身份证,学号等信息搜集,当然如果在允许情况下,也可以进行社工获得一些账号密码,尝试进行进一步测试
MySQL 的mysql_secure_installation安全脚本执行过程介绍
2509_94231173的博客
11-30 620
1.设置 MySQL root 用户密码。2.删除匿名用户。3.禁止 root 用户远程登录。4.删除测试数据库。5.重新加载权限表。
【技术深度】【安全】Remote Password Protection:一套密码永不上传的登录协议方案(含盲签 + Pairing + Crypto 模块)
ZFJ_张福杰
11-30 757
本文提出了一套"密码永不上传"的高安全登录协议方案Remote Password Protection。该方案通过密码盲化、双线性映射和主密钥混合三项核心技术,确保服务端无法获取用户密码及哈希值,即使数据库泄露也无法暴力破解。系统包含客户端、业务服务器和密码服务(Crypto)三个角色,Crypto模块通过硬件安全模块(HSM)保护主密钥。文章详细阐述了基础注册登录流程、增强版(加入Token和安全通道)以及旧系统升级方案三种实现方式,并提供了完整的数学公式推导。该方案适用于交易所、银行
Java安全基础——JNI安全基础
a1001086的博客
11-29 487
Java通过JNI实现与C/C++的交互,可在Java中调用本地代码。具体步骤包括:1)声明native方法;2)加载动态链接库(.dll/.so);3)使用javac生成头文件;4)实现C/C++函数;5)编译生成动态库;6)在Java中调用。JNI类型对应C++类型,基本类型直接使用,引用类型为对象指针。处理字符串时需注意内存管理,使用GetStringUTFChars获取字符串指针,最后调用ReleaseStringUTFChars释放资源。该方法可扩展Java功能,但需考虑跨平台和安全问题。
SSH 深度实战:从基础到高级安全配置
最新发布
1024
11-30 440
本文全面介绍了 SSH 协议的核心技术与安全实践。主要内容包括:SSH 基础连接与密钥认证管理(RSA/ECDSA/ED25519 密钥生成与分发);服务器端安全配置(端口更改、root 登录禁用、Fail2Ban 防护);高级功能如端口转发(本地/远程/SOCKS 代理)、连接复用和代理转发;以及安全的文件传输方法(SCP/SFTP)。
Atlassian
09-05
Atlassian是一家知名的软件公司,在软件开发和团队协作领域有广泛的影响力。以下为其相关信息: ### 产品介绍 - **Jira系列** - **Jira Software**:是一款强大的项目管理工具,适用于敏捷开发团队。它能帮助团队规划、跟踪和发布软件项目。团队成员可以创建任务、分配工作、设置优先级和跟踪进度。例如,在一个软件开发项目中,开发人员可以使用Jira Software记录自己的开发任务,测试人员可以记录发现的缺陷。 - **Jira Ops**:是一个事故管理平台,用于响应和解决事故,并从中总结经验。它提供了记录事故、向目标人员发送警报、在Slack上为每个问题创建会话以诊断和修复问题、通过Atlassian Statuspage让客户了解最新进展以及从每个事件中吸取教训并分析根本原因等功能[^1]。 - **Confluence**:是一个团队协作和知识管理平台。团队可以在Confluence上创建、编辑和共享文档、博客、页面等。例如,团队可以创建项目文档、会议记录、知识库等,方便成员之间的信息共享和协作。 - **Bitbucket**:是一个基于Git的代码托管平台,支持团队进行代码管理和版本控制。它提供了代码审查、分支管理、持续集成和部署等功能,帮助团队更好地管理代码。 ### 使用方法 - **Jira Software**:首先创建项目,选择合适的项目模板(如Scrum或Kanban)。然后创建问题(任务、故事、缺陷等),为问题分配负责人、设置优先级和截止日期。团队成员可以在自己的工作列表中查看分配给自己的任务,并更新任务状态。通过报表功能可以查看项目进度和团队绩效。 - **Confluence**:创建空间来组织相关的页面和文档。在空间中创建页面,使用富文本编辑器编写内容,可以插入图片、表格、代码块等。可以设置页面的权限,控制不同成员对页面的访问和编辑权限。通过搜索功能可以快速找到所需的信息。 - **Bitbucket**:创建仓库来存储代码。团队成员可以克隆仓库到本地进行开发,提交代码更改并推送到远程仓库。在合并代码时,可以进行代码审查,确保代码质量。可以配置持续集成和部署工具,实现代码的自动化部署。 ### 解决方案 - **软件开发团队解决方案**:使用Jira Software进行项目管理,Confluence进行知识共享和文档管理,Bitbucket进行代码托管和版本控制。通过这些工具的集成,团队可以实现从需求管理、开发、测试到部署的全流程管理。 - **事故管理解决方案**:Jira Ops提供了一套完整的事故管理流程,从事故发生时的警报通知、问题诊断和修复,到后续的经验总结和根本原因分析。通过Atlassian Statuspage可以及时向客户通报事故进展,减少对客户的影响。 ```python # 这里没有直接相关的代码示例,但如果要在Python中使用Atlassian的API,可以参考以下简单示例(以Jira为例) from atlassian import Jira # 初始化Jira客户端 jira = Jira( url='https://your-jira-instance.atlassian.net', username='your-username', password='your-api-token' ) # 获取项目信息 project = jira.get_project('YOUR_PROJECT_KEY') print(project) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值