CVE-2023-22515

Atlassian Confluence Data Center and Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-10-05

Официальное описание

Atlassian Confluence Data Center and Server contains a broken access control vulnerability that allows an attacker to create unauthorized Confluence administrator accounts and access Confluence.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-22515 — это критическая уязвимость (CVSS 10.0), связанная с нарушением логики контроля доступа (Broken Access Control) в Atlassian Confluence Data Center и Server.

Проблема заключается в том, что неавторизованный злоумышленник может получить доступ к эндпоинтам настройки системы, которые должны быть доступны только на этапе первоначальной установки. Это позволяет атакующему изменить статус установки приложения и создать новую учетную запись с правами администратора Confluence, что ведет к полному захвату контроля над экземпляром и всеми данными.

Как исправить

Единственным надежным способом устранения уязвимости является обновление Confluence до исправленной версии.

  1. Определите текущую версию вашего экземпляра Confluence.
  2. Скачайте и установите обновление до одной из следующих (или более новых) версий:
  3. 8.3.3
  4. 8.4.3
  5. 8.5.2 (Long Term Support release)

Команда для проверки текущей версии в Linux (выполнять в директории установки):

cat confluence/WEB-INF/lib/confluence-x.y.z.jar

После обновления убедитесь, что в системе отсутствуют подозрительные учетные записи администраторов в разделе User Management.

Временные меры

Если немедленное обновление невозможно, необходимо ограничить доступ к уязвимым эндпоинтам на уровне конфигурации веб-сервера или прокси-сервера (Nginx, Apache, Tomcat).

Вариант 1: Блокировка через конфигурацию Tomcat (server.xml) Добавьте фильтр в файл conf/server.xml, чтобы запретить доступ к путям, содержащим /setup/*.

Вариант 2: Блокировка на стороне Nginx Добавьте следующий блок в конфигурационный файл вашего виртуального хоста:

location ~* /setup/.* {
    deny all;
    return 403;
}

Вариант 3: Проверка на наличие признаков компрометации Проверьте сетевые логи и логи доступа на наличие запросов к /setup/*.action.

grep "/setup/" /opt/atlassian/confluence/logs/conf_access_log.*

Вариант 4: Изоляция Отключите доступ к экземпляру Confluence из публичной сети (Интернет), оставив доступ только через VPN или внутреннюю сеть компании до момента установки патча.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей