JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月2日(現地時間)、「Confluence ServerおよびData Centerの脆弱性(CVE-2021-26084)に関する注意喚起」において、Atlassianが提供しているチームコラボレーション・プラットフォームのConfluence ServerおよびConfluence Data Centerに脆弱性が報告されていると伝えた。
該当する脆弱性に関する詳細は、開発元による次のセキュリティアドバイザリにまとめられている。
この脆弱性は、Confluence ServerおよびData CenterにおいてOGNL(Object Graph Navigation Language)で実行されるコードを埋め込む「OGNLインジェクション」が可能というもので、CVE-2021-26084として追跡されている。悪用されると、認証されていないリモートの第三者が、対象システム上で任意のコードを実行することができる。影響を受けるバージョンは以下の通り。
- Confluence ServerおよびData Center 7.12.5より前の7.12系のバージョン
- Confluence ServerおよびData Center 7.11.6より前の7.11系のバージョン
- Confluence ServerおよびData Center 7.10系のバージョン
- Confluence ServerおよびData Center 7.9系のバージョン
- Confluence ServerおよびData Center 7.8系のバージョン
- Confluence ServerおよびData Center 7.7系のバージョン
- Confluence ServerおよびData Center 7.6系のバージョン
- Confluence ServerおよびData Center 7.5系のバージョン
- Confluence ServerおよびData Center 7.4.11より前の7.4系のバージョン
- Confluence ServerおよびData Center 7.3系のバージョン
- Confluence ServerおよびData Center 7.2系のバージョン
- Confluence ServerおよびData Center 7.1系のバージョン
- Confluence ServerおよびData Center 7.0系のバージョン
- Confluence ServerおよびData Center 6.15系のバージョン
- Confluence ServerおよびData Center 6.14系のバージョン
- Confluence ServerおよびData Center 6.13.23より前の6.13系のバージョン
上記のほかに、サポートが終了している6.13系以前のバージョンもこの脆弱性の影響を受けるという。また、Confluence Cloudのユーザーは影響を受けないとのことだ。
Atlassianでは、この脆弱性に対する修正版として以下のバージョンをリリースした。
- Confluence ServerおよびData Center 7.13.0
- Confluence ServerおよびData Center 7.12.5
- Confluence ServerおよびData Center 7.11.6
- Confluence ServerおよびData Center 7.4.11
- Confluence ServerおよびData Center 6.13.23
これらの修正版にアップデートすることで、CVE-2021-26084の影響を排除することができる。加えて、Atlassianから一時的な軽減策を実施するためのスクリプトが公開されている。
脆弱性の深刻度を表すのCVSS v3のベーススコアは9.8となっている。これは5段階中で最も高い「Critical(緊急)」に分類されるもので、早急に対処することが推奨されている。