Atlassian Confluence Data Center and Server Broken Access Control Vulnerability — Atlassian Confluence Data Center and Server contains a broken access control vulnerability that allows an attacker to create unauthorized Confluence administrator accounts and access Confluence.
CVE-2023-22515 is a critical broken access control vulnerability in Atlassian Confluence Data Center and Server (CVSS 9.0) that allows unauthenticated attackers to create unauthorized administrator accounts. This vulnerability has active exploits available and poses an immediate threat to organizations using Confluence for documentation and collaboration. Patching is urgent as attackers can gain full administrative control without authentication.
تتعلق هذه الثغرة بفشل آليات التحقق من الوصول في Atlassian Confluence، مما يسمح للمهاجمين بإنشاء حسابات مسؤول جديدة دون تفويض مناسب. يمكن للمهاجمين استغلال هذه الثغرة للحصول على سيطرة إدارية كاملة على نظام Confluence. تم تصنيف هذه الثغرة كحرجة بدرجة CVSS 9.0 وتتوفر استغلالات عملية لها. يتطلب الإصلاح تطبيق التحديثات الأمنية من Atlassian فوراً.
CVE-2023-22515 هي ثغرة حرجة في التحكم بالوصول في Atlassian Confluence Data Center و Server (CVSS 9.0) تسمح للمهاجمين غير المصرح لهم بإنشاء حسابات مسؤول غير مصرح بها. تتوفر استغلالات نشطة لهذه الثغرة مما يشكل تهديداً فورياً للمنظمات التي تستخدم Confluence. يعتبر التصحيح ضرورياً وعاجلاً لأن المهاجمين يمكنهم الحصول على السيطرة الإدارية الكاملة دون مصادقة.
IMMEDIATE ACTIONS:
1. Identify all Confluence Data Center and Server instances in your environment
2. Restrict network access to Confluence instances to authorized users only
3. Enable IP whitelisting and VPN-only access as temporary measure
4. Monitor admin account creation logs for suspicious activities
5. Review existing admin accounts for unauthorized additions
PATCHING:
1. Apply Atlassian security patches immediately (versions 7.19.17, 8.5.3, 8.6.1 or later)
2. Prioritize patching for internet-facing Confluence instances
3. Test patches in non-production environment first
4. Schedule maintenance window for production patching
DETECTION:
1. Monitor for POST requests to /admin/users/createuser endpoints
2. Alert on new admin account creation without change management tickets
3. Review authentication logs for failed login attempts followed by admin creation
4. Implement WAF rules to block unauthorized admin creation attempts
COMPENSATING CONTROLS (if patching delayed):
1. Implement network segmentation - restrict Confluence access to internal networks only
2. Deploy Web Application Firewall (WAF) with rules blocking admin creation endpoints
3. Enable MFA for all Confluence accounts
4. Implement continuous monitoring of admin account changes
5. Conduct daily audits of admin account modifications
الإجراءات الفورية:
1. تحديد جميع مثيلات Confluence Data Center و Server في بيئتك
2. تقييد الوصول إلى شبكة Confluence للمستخدمين المصرح لهم فقط
3. تفعيل قائمة IP البيضاء والوصول عبر VPN كإجراء مؤقت
4. مراقبة سجلات إنشاء حسابات المسؤول للأنشطة المريبة
5. مراجعة حسابات المسؤول الموجودة للتحقق من الإضافات غير المصرح بها
التصحيح:
1. تطبيق تصحيحات أمان Atlassian فوراً (الإصدارات 7.19.17 و 8.5.3 و 8.6.1 أو أحدث)
2. إعطاء الأولوية لتصحيح مثيلات Confluence المتصلة بالإنترنت
3. اختبار التصحيحات في بيئة غير الإنتاج أولاً
4. جدولة نافذة صيانة لتصحيح الإنتاج
الكشف:
1. مراقبة طلبات POST إلى نقاط نهاية /admin/users/createuser
2. تنبيهات عند إنشاء حساب مسؤول جديد بدون تذاكر إدارة التغيير
3. مراجعة سجلات المصادقة لمحاولات تسجيل الدخول الفاشلة متبوعة بإنشاء مسؤول
4. تطبيق قواعد WAF لحظر محاولات إنشاء مسؤول غير مصرح بها