Atlassianは6月3日、企業向けナレッジ共有製品「Confluence Server」および「Confluence Data Center」に存在する深刻な脆弱性を修正した更新版をリリースした。ユーザーに早期の適用を呼び掛けている。
今回リリースされた更新版は、バージョン7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4、7.18.1になる。両製品の更新版より前のバージョンでは、未認証のユーザーにより両製品のインスタンス上において、リモートで任意のコードが実行されてしまう恐れのあるOGNLインジェクションの脆弱性(CVE-2022-26134)が報告されていた。この脆弱性を悪用するサイバー攻撃の発生も確認されているという。
同社は、修正版をすぐに適用できないユーザーに脆弱性の影響を回避する以下の方法も紹介している。
- 当該製品に対するインターネットからの接続を制限する
- 当該製品を一時的に無効にする
- 当該製品においてjarやclassファイルを置き換える