「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC)
JPCERT/CCは、「Confluence ServerおよびConfluence Data Centerにおける複数の脆弱性に関する注意喚起」を発表した。
脆弱性と脅威
セキュリティホール・脆弱性
Confluence ServerおよびConfluence Data Centerが使用するWebDAV pluginには、サーバサイドリクエストフォージェリの脆弱性があり、また Widget Connectorには、サーバサイドテンプレートインジェクションの脆弱性がある可能性がある。これらの脆弱性が悪用されると、リモートの第三者にコードを実行されるなども影響を受ける可能性がある。
対象となるバージョンは次の通り。
・Confluence Server および Data Center 6.14.2 より前の 6.14 系のバージョン
・Confluence Server および Data Center 6.13.3 より前の 6.13 系のバージョン
・Confluence Server および Data Center 6.12.3 より前の 6.12 系のバージョン
・Confluence Server および Data Center 6.11 系のバージョン
・Confluence Server および Data Center 6.10 系のバージョン
・Confluence Server および Data Center 6.9 系のバージョン
・Confluence Server および Data Center 6.8 系のバージョン
・Confluence Server および Data Center 6.7 系のバージョン
・Confluence Server および Data Center 6.6.12 より前の 6.6 系のバージョン
・Confluence Server および Data Center 6.5 系のバージョン
・Confluence Server および Data Center 6.4 系のバージョン
・Confluence Server および Data Center 6.3 系のバージョン
・Confluence Server および Data Center 6.2 系のバージョン
なお、すでにサポートが終了している「Confluence Server および Data Center 6.1 系以前のバージョン」も本脆弱性の影響を受ける。Atlassianでは、本脆弱性の影響を受けない最新バージョンの「Confluence Server および Data Center 6.15.1」へのアップグレードを推奨している。また、6.7系から6.11系までのバージョンや、6.5系およびそれ以前のバージョンを使用している場合は、アップグレードを推奨している。
関連記事
特集
関連リンク
アクセスランキング
-
5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
-
2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
-
KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める
-
マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表
-
STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス
