Atlassian Confluence是企业用来组织/共享工作的流行协作wiki系统。Atlassian已为Confluence Data Center和Server 7.19.16、8.3.4、8.4.4、8.5.3和8.6.1之前的所有受支持版本发布补丁，并强烈建议客户立即应用补丁。

澳大利亚领先的软件公司Atlassian已针对一个关键安全漏洞发布了紧急补丁，该漏洞可能允许未经身份验证的行为者利用该漏洞造成“重大数据丢失”。 该公司本周发布了一份 公告，在国家支持的黑客最近试图针对其产品后向客户发出警告。该漏洞在漏洞严重性评分系统上的评分为9.1分（满分10分），并被跟踪为CVE-2023-22518。

该漏洞是一个不正确的授权缺陷，允许攻击者访问用户帐户、密码和机密信息等敏感数据。根据该公司的公告，该缺陷影响Atlassian Confluence数据中心和服务器的本地版本。

供您参考，Atlassian Confluence是企业用来组织/共享工作的流行协作wiki系统。几周前，它成为政府支持的黑客的攻击目标。他们利用该漏洞与另一个最大评级为10.0的漏洞来危害Atlassian客户。

Atlassian已为Confluence Data Center和Server 7.19.16、8.3.4、8.4.4、8.5.3和8.6.1之前的所有受支持版本发布补丁，并强烈建议客户立即应用补丁。该公司尚未透露有关该缺陷的更多细节。

“支持窗口之外的版本（即已达到生命周期结束的版本）也可能会受到影响，因此Atlassian建议您升级到固定的LTS版本或更高版本。Atlassian Cloud站点不受此漏洞的影响。如果您的Confluence站点是通过atlassian.net域访问的，则该站点由Atlassian托管，并且不易受到此问题的影响。” 阿特拉斯表示。

该公司声称，截至10月31日，尚未收到该漏洞被积极利用的报告。此外，Atlassian指出，数据机密性不会受到影响，因为攻击者无法泄露“任何实例数据”。

但是，它已要求所有可公开访问的本地Confluence产品的用户进行升级。建议无法立即修补的管理员创建备份并暂时从互联网上删除该产品，以限制来自外部网络的访问，直到修补为止。

该公告中还包括来自Atlassian首席信息安全官Bala Sathaimurthy的消息，他表示客户应“立即采取行动”。除了安装安全补丁外，他们还必须为所有Confluence帐户使用强密码并保持Confluence产品更新。他们必须定期监控Confluence活动，以及时发现可疑行为，并且只允许授权人员访问Confluence。