漏洞名称：Atlassian-Confluence路径遍历漏洞(CVE-2024-21677)

【检测结果】

1、通过MSSP大数据平台分析近一个月服务资产访问行为数据，尚未发现受此组件版本影响的服务资产。

2、为确保无遗漏，建议业务运维进行二次核实，检查业务资产是否有使用相关组件的情况，如有可参考详细修复建议操作避免漏洞被恶意利用。

【漏洞详情】

Atlassian-Confluence存在严重的路径遍历漏洞。未经身份确认的攻击者可以利用该漏洞对Confluence服务器机密性，完整性和可用性造成严重影响。

影响范围：

Confluence Data Center = 8.8.0

8.7.0 ≤ Confluence Data Center ≤ 8.7.2

8.6.0 ≤ Confluence Data Center ≤ 8.6.2

8.5.0 ≤ Confluence Data Center ≤ 8.5.6 (LTS)

8.4.0 ≤ Confluence Data Center ≤ 8.4.5

8.3.0 ≤ Confluence Data Center ≤ 8.3.4

8.2.0 ≤ Confluence Data Center ≤ 8.2.3

8.1.0 ≤ Confluence Data Center ≤ 8.1.4

8.0.0 ≤ Confluence Data Center ≤ 8.0.4

7.20.0 ≤ Confluence Data Center ≤ 7.20.3

7.19.0 (LTS) ≤ Confluence Data Center ≤ 7.19.19 (LTS)

7.18.0 ≤ Confluence Data Center ≤ 7.18.3

7.17.0 ≤ Confluence Data Center ≤ 7.17.5

Confluence Data Center ≤ 7.17.0

8.7.0 ≤ Confluence Server ≤ 8.7.2

8.6.0 ≤ Confluence Server ≤ 8.6.2

8.5.0 ≤ Confluence Server ≤ 8.5.6 (LTS)

8.4.0 ≤ Confluence Server ≤ 8.4.5

8.3.0 ≤ Confluence Server ≤ 8.3.4

8.2.0 ≤ Confluence Server ≤ 8.2.3

8.1.0 ≤ Confluence Server ≤ 8.1.4

8.0.0 ≤ Confluence Server ≤ 8.0.4

7.20.0 ≤ Confluence Server ≤ 7.20.3

7.19.0 (LTS) ≤ Confluence Server ≤ 7.19.19 (LTS)

7.18.0 ≤ Confluence Server ≤ 7.18.3

7.17.0 ≤ Confluence Server ≤ 7.17.5

Confluence Server ≤ 7.17.0

官方解决方案：

Atlassian 建议Confluence Data Center 与 Confluence Server升级到最新版本，如果无法升级，请将实例升级到指定支持的固定版本之一。

请参阅发布说明：https://confluence.atlassian.com/doc/confluence-release-notes-327.html 。

您可以从下载中心下载最新版本的 Confluence Data Center 和 Server：https://www.atlassian.com/software/confluence/download-archives。