V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
podel
V2EX  ›  信息安全

文档中心 Confluence 逆天漏洞,所有版本全中招。赶紧升级呀!

  •  
  •   podel · 2023-11-16 21:05:08 +08:00 · 3080 次点击
    这是一个创建于 399 天前的主题,其中的信息可能已经有所发展或是发生改变。

    漏洞简单介绍: 管理员接口缺少认证。导致管理员页面和结构无需任何用户认证。能够被任意匿名用户访问。 目前已经发现的有。利用数据备份和恢复接口清空数据的。 可以上传插件达到 webshell 的。 我自己随便搭着玩的 数据全部被加密,已经中了勒索了。

    各位要是有用的赶紧升级系统。或者临时按照官方的做法修补一下。

    链接: https://xz.aliyun.com/t/12961 链接: https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

    7 条回复    2024-03-20 22:08:26 +08:00
    titanhw
        1
    titanhw  
       2023-11-16 23:06:24 +08:00
    怪吓人的,不过看起来如果公司是内网部署而且有 SSO 认证,应该不会中招吧
    7lQM1uTy635LOmbu
        2
    7lQM1uTy635LOmbu  
       2023-11-17 00:09:21 +08:00 via Android
    感谢提醒,明天升级
    shuimugan
        3
    shuimugan  
       2023-11-17 05:43:24 +08:00   ❤️ 2
    见怪不怪了,这种多漏洞的 web 应用,部署的时候都是前置一个网关放个 basic auth 或者扫码登录啥的,过了前置认证再进入真正的 web 应用,防止 0day 出来时直接被干
    mengdodo
        4
    mengdodo  
       2023-11-17 08:33:49 +08:00
    atlassian 家的套件太笨重,我等小公司不配使用😄
    somewheve
        5
    somewheve  
       2023-11-17 09:45:39 +08:00
    hhhhh 笑死了 我朋友就已经中招了 ~~~
    spediacn
        6
    spediacn  
       2023-11-23 14:41:20 +08:00 via iPhone
    只能说作者真的吃相难看了,这种低级问题都能发生。肯定是罗马尼亚人写的程序。哈哈
    wuhao
        7
    wuhao  
       274 天前
    中招了,全部数据挂了,全部被勒索病毒了,要两三万,到现在没支付,经常因此收到困扰,很多东西在里面,有人能帮忙吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1007 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:17 · PVG 05:17 · LAX 13:17 · JFK 16:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.