I. 概要
2022年6月2日(現地時間)、AtlassianはConfluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関するセキュリティアドバイザリを公開しました。
本脆弱性を悪用することで、認証されていない遠隔の第三者が任意のコードを実行する可能性があります。
脆弱性の詳細や最新の対策情報などについては、Atlassianの情報を確認してください。
参考:https://www.jpcert.or.jp/at/2022/at220015.html

Atlassian
Confluence Server and Data Center – CVE-2022-26134 – Critical severity unauthenticated remote code execution vulnerability
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Atlassianは、本脆弱性を悪用する攻撃を確認しています。
影響を受ける製品を利用している場合、Atlassianなどから公開される関連情報を注視の上、対策や回避策の適用を速やかに検討いただくことを推奨します。


II. 対象
対象となる製品は次のとおりです。
影響を受けるバージョンなどの最新の情報についてはAtlassianからの情報をご確認ください。

Confluence
– Confluence Server
– Confluence Data Center


III. 対策
2022年6月3日現在、Atlassianから本脆弱性を修正したバージョンは公開されていません。
Atlassianからの情報を注視の上、対策バージョンが公開され次第、速やかに適用を検討いただくことを推奨します。


IV. 回避策
対策バージョンが公開されるまでの暫定策として、Atlassianから次の対応の実施が推奨されています。

– Confluence ServerおよびConfluence Data Centerへのインターネットからの接続を制限する
– Confluence ServerおよびConfluence Data Centerを一時的に無効にする


V. 参考情報

Volexity
Zero-Day Exploitation of Atlassian Confluence
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

Atlassian
アトラシアン サポート終了 (EOL) ポリシー
https://ja.confluence.atlassian.com/support/atlassian-support-end-of-life-policy-201851003.html