Hackernews 编译，转载请注明出处： 一周前，Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁，其中包含一个关键漏洞，现在这个漏洞已经被广泛利用。 该漏洞追踪为CVE-2022-26138，它涉及在应用程序中使用硬编码密码，未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。...

近期，勒索软件团伙瞄准了一个远程代码执行 (RCE) 漏洞，该漏洞影响会Atlassian Confluence服务器和数据中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134)，未经身份验证的攻击者可以通过创建新管理员帐户和执行任意代码远程接管未修复补丁的服务器。 瑞士网络威胁情报公司Prodaft的研究人员发现AvosLocker勒索软件分支机构已经加入了这一行列。他们瞄准并入侵暴露在互联网上的未打补丁的Confluence服务器“以大规模系统地感染多个受害者。AvosLocker的命令和控制服务器的截图表明了威胁行为者已经对Confluence下手了。...

Atlassian Confluence 协作软件的用户昨天被警告要么限制对该软件的互联网访问，要么由于一个严重的漏洞而禁用它。 Atlassian于6月2日发布的一份公告称，已检测到“当前活跃的利用”。该公告现已更新，以反映该公司已发布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1，其中包含对此的修复问题。建议用户更新到这些版本。...