2022年第6期

【预警类型】高危预警

【预警内容】Confluence 存在远程代码执行漏洞

一、漏洞概述：

Confluence是一款专业的企业知识管理与协同软件，常用于企业wiki的构建，支持团队成员间开展信息共享、文档协作、集体讨论和信息推送等工作，具有较为便捷的编辑和站点管理特性。该软件由Atlassian公司负责开发和维护。

6月1日，Atlassian公司发布了Confluence Server和Data Center版本远程代码执行漏洞的安全公告。未经身份验证的攻击者远程利用该漏洞，通过发送恶意的Web请求注入命令，实现在目标服务器上的任意代码执行，从而控制目标服务器。

二、影响范围：

        Confluence Server和Confluence Data Center受支持版本

三、解决方案或建议：

        目前，Atlassian公司已发布漏洞缓解建议，暂未发布修复补丁。CNVD建议受影响的单位和用户按照厂商公告，及时采取漏洞临时缓解措施，并密切关注后续的补丁更新情况。  

附Atlassian公司的漏洞缓解建议：https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html