一、漏洞概述

2023年10月31日，Atlassian发布了Confluence的风险通告，漏洞编号为CVE-2023-22518，漏洞等级：高危，漏洞评分：8.5。

Atlassian Confluence是一个团队工作区，它的主要功能是创建、收集和协同处理任何项目或创意。它是一个知识与协作的融合平台，为团队成员提供一个协作环境，可以齐心协力，各擅其能，协同地编写文档和管理项目。

漏洞存在于Atlassian Confluence Data Center & Server 中。由于子组件Struts2继承关系处理不当， 滥用了 Struts2 的继承关系，攻击者在未授权的情况下利用该漏洞，构造恶意数据进行认证绕过，获取服务器最高权限，进而接管服务器，是一个身份认证绕过漏洞。

注意：该漏洞利用会导致 Confluence 数据清空，对应用数据完整性产生不可逆的影响。

二、影响版本

Atlassian Cloud 站点不受此漏洞的影响。如果 Confluence 站点是通过 atlassian.net 域访问的，则该站点由 Atlassian 托管，不易受到此问题的影响。

三、临时解决措施

不将Confluence 放置在公网上。或通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。备份 Confluence 应用数据。

官方已经推出了安全修复版本，建议用户尽快下载安装新版本修复漏洞。

四、检测

长亭科技安全的 牧云本地检测工具：

./atlassian_confluence_rce_cve_2023_22518_scanner_linux_amd64 scan

工具获取方式：

https://stack.chaitin.com/tool/detail/1249