CVE-2023-22518 に関する FAQ

プラットフォームについて: Data Center のみ。 - This article only applies to Atlassian apps on the Data Center プラットフォーム

この KB は Data Center バージョンの製品用に作成されています。Data Center 固有ではない機能の Data Center KB は、製品のサーバー バージョンでも動作する可能性はありますが、テストは行われていません。 Server* 製品のサポートは 2024 年 2 月 15 日に終了しました。Server 製品を実行している場合は、 アトラシアン Server サポート終了 のお知らせにアクセスして、移行オプションを確認してください。

*Fisheye および Crucible は除く

一般情報

Confluence Server と Data Center で、クリティカルな重大度の認証に関する脆弱性が見つかりました (CVE-2023-22518)。

このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。

私の Confluence インスタンスは影響を受けますか?

Confluence Data Center および Server のすべてのバージョンは、この脆弱性の影響を受けます。この不適切な認証の脆弱性により、認証されていない攻撃者が Confluence をリセットして、Confluence インスタンスの管理者アカウントを作成することが可能となります。このアカウントを使用すると、攻撃者は Confluence インスタンス管理者が利用できるすべての管理アクションを実行でき、機密性、インテグリティ、可用性の完全な喪失に繋がります。

アトラシアンでは、脆弱性のあるインストールに対して、以下に示す修正バージョン (または最新のバージョン) にパッチを適用することを強く推奨します。

製品

修正済みバージョン

Confluence Data Center および Confluence Server

7.19.16

8.3.4

8.4.4

8.5.3

8.6.1 (Data Center のみ)

ℹ️ Confluence 8.6.0 は、Data Center のみのリリースとなり、Server ライセンスはサポートされません。8.6 以降へのバージョンにアップグレードする場合は、有効な Data Center ライセンスを持っていることをご確認ください。

クラウド インスタンスは影響を受けますか?

Atlassian Cloud サイトはこの脆弱性の影響を受けません。ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。

当社のインスタンスはインターネットに接続されていません。安全でしょうか?

引き続き、CVE-2023-22518 の「Confluence セキュリティ勧告」ページに記載されている最新のパッチを適用することを強くお勧めします。

Confluence インスタンスがインターネットからアクセスできない場合、エクスプロイトのリスクは減少します。

修正版にパッチ適用すれば問題は完全に解決しますか?

最新のパッチで脆弱性 CVE (2023-22518) が修正されていますが、持続的な脅威が存在するかどうかは確認できません。

社内のセキュリティ チームと協力して、パッチ適用前にインスタンスが侵害されていないかどうかを調査することをお勧めします。この調査を支援するために、勧告内の「脅威検知」セクションを参照して、潜在的な侵害の兆候がないかを確認してください。

影響を受けるバージョンの Confluence を実行しています。どうすればパッチ適用するまでの間の脅威を軽減できますか?

Confluence Data Center と Server インスタンスに対して、ただちにパッチを適用できないお客様は、リスクを軽減するために次の手順を実行することをお勧めします。

1. ただちにシステムをインターネットから切り離します。

2. インスタンスのデータを Confluence インスタンス外の安全な場所にバックアップします。

Confluence のバックアップに関するガイダンスは、次のページを参照してください。

3. 社内のセキュリティ チームに連絡して、潜在的な悪意のあるアクティビティがないかを確認します。セキュリティ侵害の兆候がないか、勧告の「脅威検知」セクションをご確認ください。

4. 次のような暫定措置を講じて、Confluence インスタンス上の次のエンドポイントへのアクセスをブロックすることで、既知の攻撃ベクトルを軽減します。

  • /json/setup-restore.action

  • /json/setup-restore-local.action

  • /json/setup-restore-progress.action

これはネットワーク層で、あるいは Confluence 設定ファイルに以下の変更を加えることで可能です。

各ノードで /<confluence-install-dir>/confluence/WEB-INF/web.xml を修正し、次のコード ブロックを (ファイルの末尾の </web-app> タグの直前に) 追加します。

<security-constraint>         <web-resource-collection>             <url-pattern>/json/setup-restore.action</url-pattern>             <url-pattern>/json/setup-restore-local.action</url-pattern> <url-pattern>/json/setup-restore-progress.action</url-pattern>             <http-method-omission>*</http-method-omission>         </web-resource-collection>     <auth-constraint /> </security-constraint>

その後、Confluence を再起動します。Confluence インスタンスをインターネットに接続する前に、社内のセキュリティ チームに連絡してください。

注: これらの緩和措置は限定的であり、インスタンスのパッチ適用に代わるものではありません。できるだけ早くパッチ適用する必要があります。

他のアトラシアン製品はこの脆弱性の影響を受けますか?

いいえ、CVE-2023-22518 の影響を受けません。他の製品においてアクションを行う必要はありません。

影響を受けたかどうかはどうすればわかりますか?

この不適切な認証の脆弱性により、認証されていない攻撃者が Confluence をリセットして、Confluence インスタンスの管理者アカウントを作成することが可能となります。このアカウントを使用すると、攻撃者は Confluence インスタンス管理者が利用できるすべての管理アクションを実行でき、機密性、インテグリティ、可用性の完全な喪失に繋がります。

インスタンスが既に侵害されているかどうかを弊社が確認することはできません。そのため、社内のセキュリティ チームに相談することを強くお勧めします。

潜在的な侵害の兆候については、勧告の「脅威検知」セクションを参照してください。

インスタンスが侵害されていました。どうすればよいですか?

内部のセキュリティ チームに詳細な調査を依頼することを強くおすすめします。

この侵害はインスタンスのコンテンツをリセットすることから構成されるため、以前のバックアップから復元することがデータを復元する唯一の方法です。

次に、以下の「Confluence インスタンスを復元するには何をする必要がありますか?」セクションのガイドラインをご参照ください。インスタンスの復元の一環として実行すべき推奨手順が記載されています。

Confluence インスタンスを復元するには何をする必要がありますか?

以下は、Confluence インスタンスを復元するために実行することを推奨する手順のガイダンスです。

  • インスタンスをシャットダウンし、サーバーをインターネットから切断します。

  • エクスプロイト後の悪意のある活動については、社内のセキュリティ チームに連絡して確認してください。セキュリティ侵害の兆候がないか、勧告の「脅威検知」セクションを確認してください。

  • Confluence を回復するには、オペレーティング システムを再インストールし、インスタンスが危険にさらされる前に作成されたバックアップから Confluence データを復元し、Confluence インスタンスに最新のパッチを適用することを強くお勧めします。

    • バックアップを復元する方法は、「サイトを復元する」ドキュメント ページをご参照ください。

脆弱性および修正バージョンの詳細は、勧告を参照してください。

Confluence をバックアップから復元しても、まだ危険にさらされていますか?

次に、社内のセキュリティ チームに連絡して、インスタンスへの影響を調査し、Confluence インスタンスの復元に必要な手順を把握してください。

Confluence インスタンス外の安全な場所から、 インスタンスのバックアップを復元することを強く推奨します。 これは、悪意のあるプラグインによる永続化のリスクがあるためです。

次に、上記の「Confluenc eインスタンスを復元するには何をする必要がありますか?」セクションのガイドラインを参照してください。インスタンスの復元の一環として実行すべき推奨手順が記載されています。

Confluence ログで何を探すべきですか?

社内のセキュリティ チームと協力して、さらに調査してください。

以下は、各 Confluence インスタンスのログを確認するために実行することを推奨する手順のガイダンスです。

1. エンドポイント json/setup-restore.action

  • ログ ファイルのロケーションに移動します: <confluence-install-dir>/logs/conf_access_log.<DATE>.log 次のログ エントリを探します

    • 次に対するリクエストを検索します: /json/setup-restore.action

    • 次に対するリクエストを検索します: /json/setup-restore-progress.action

  • 推奨コマンド: grep "/json/setup-restore*" <confluence-install-dir>/logs/conf_access_log*

[02/Nov/2023:19:40:01 +0530] - http-nio-8090-exec-1 127.0.0.1 POST /json/setup-restore.action HTTP/1.1 403 46ms 1198 http://YOURSERVERHOST/login.action?os_destination=%2Findex.action&permissionViolation=true Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 [02/Nov/2023:19:40:08 +0530] - http-nio-8090-exec-4 127.0.0.1 POST /json/setup-restore.action?synchronous=false HTTP/1.1 302 78ms - http://YOURSERVERHOST/json/setup-restore.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 [02/Nov/2023:19:40:09 +0530] - http-nio-8090-exec-3 127.0.0.1 GET /json/setup-restore-progress.action?taskId=5a7af4cd-698d-4e3d-8bd4-a411c779d519 HTTP/1.1 200 24ms 277 http://YOURSERVERHOST/json/setup-restore.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36

  • ログ ファイルのロケーションに移動します: <confluence-home-dir>/logs/atlassian-confluence.log 次のログ エントリを探します

    • 次に対するリクエストを検索します: /json/setup-restore.action

  • 推奨コマンド: grep "/json/setup-restore*" <confluence-home-dir>/logs/atlassian-confluence.log*

2023-11-02 19:40:08,993 ERROR [http-nio-8090-exec-4 url: /json/setup-restore.action] [atlassian.confluence.setup.DefaultSetupPersister] progessSetupStep setupStack is empty of actions. -- url: /json/setup-restore.action | userName: anonymous | action: setup-restore | referer: http://YOURSERVERHOST/json/setup-restore.action | traceId: ba2d44ef8528c78d 2023-11-02 19:41:04,263 INFO [Long running task: Importing data] [confluence.importexport.actions.ImportLongRunningTask] runInternal Beginning import by user null

2. エンドポイント json/setup-restore-local.action

  • ログ ファイルのロケーションに移動します: <confluence-install-dir>/logs/conf_access_log.<DATE>.log 次のログ エントリを探します

    • 次に対するリクエストを検索します: /json/setup-restore-local.action

  • 推奨コマンド: grep "/json/setup-restore*" <confluence-install-dir>/logs/conf_access_log*

[02/Nov/2023:19:54:47 +0530] - http-nio-8090-exec-2 127.0.0.1 POST /json/setup-restore-local.action HTTP/1.1 200 41ms 1163 http://YOURSERVERHOST/json/setup-restore-local.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 [02/Nov/2023:19:54:53 +0530] - http-nio-8090-exec-1 127.0.0.1 POST /json/setup-restore-local.action HTTP/1.1 200 29ms 1495 http://YOURSERVERHOST/json/setup-restore-local.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36

  • ログ ファイルのロケーションに移動します: <confluence-home-dir>/logs/atlassian-confluence.log 次のログ エントリを探します

    • 次に対するリクエストを検索します: /json/setup-restore-local.action

  • 推奨コマンド: grep "/json/setup-restore*" <confluence-home-dir>/logs/atlassian-confluence.log*

2023-11-02 19:54:53,663 ERROR [http-nio-8090-exec-1 url: /json/setup-restore-local.action] [atlassian.confluence.setup.DefaultSetupPersister] progessSetupStep The setupStack is empty; the last action should always be 'complete', which will prohibit further setupStack activity! Odds are it wasn't in this case. -- url: /json/setup-restore-local.action | userName: anonymous | action: setup-restore-local | referer: http://YOURSERVERHOST/json/setup-restore-local.action | traceId: bde618e401be41a0 2023-11-02 19:41:04,263 INFO [Long running task: Importing data] [confluence.importexport.actions.ImportLongRunningTask] runInternal Beginning import by user null

詳細は、勧告の「脅威検知」セクションを参照してください。

Confluence インスタンスに悪意のあるプラグインがあるかを調べるにはどうすればよいですか?

内部のセキュリティ チームに詳細な調査を依頼することを強くおすすめします。

何かをする前に、インスタンスをシャットダウンして、サーバーをインターネットから切断することを強くお勧めします。

悪質なプラグインを確認することを強くお勧めします。

1. 次に列挙する可能性のあるディレクトリを確認します。

  • <confluence-home-directory>/bundled-plugins

  • <confluence-home-directory>/plugins-cache

  • <confluence-home-directory>/plugins-osgi-cache

  • <confluence-home-directory>/plugins-temp

  • <confluence-home-directory>/logs

  • <confluence-home-directory>/temp

侵害の性質上、完全なリストを提供することはできないことにご注意ください。

2. Confluence データベースで、次の SQL クエリを実行します。

select PLUGINDATAID, PLUGINKEY, FILENAME, LASTMODDATE from PLUGINDATA order by LASTMODDATE ASC; select BANDANAVALUE from BANDANA where BANDANAKEY = 'plugin.manager.state.Map';

3. 上述の PLUGINDATA データベース テーブルと plugincache ディレクトリの内容を、以前のバックアップと合わせて確認して、疑わしいプラグインを特定します。

4. さらに、Confluence の監査ログ機能を使用して、最近インストールしたアプリを確認することもお勧めします。

これらの場所および手順は、疑わしいプラグインがあるかどうかを特定したり、社内のセキュリティ チームが侵害の可能性をさらに調査したりするためのガイドラインとしての使用を前提としている点に注意してください。

社内にセキュリティ チームがない場合はどうしたら良いですか?

専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。

更新日時: September 25, 2025
プラットフォーム
Data Center のみ
アプリ
Confluence Data Center
このページの内容一般情報私の Confluence インスタンスは影響を受けますか?クラウド インスタンスは影響を受けますか?当社のインスタンスはインターネットに接続されていません。安全でしょうか?修正版にパッチ適用すれば問題は完全に解決しますか?影響を受けるバージョンの Confluence を実行しています。どうすればパッチ適用するまでの間の脅威を軽減できますか?他のアトラシアン製品はこの脆弱性の影響を受けますか?影響を受けたかどうかはどうすればわかりますか?インスタンスが侵害されていました。どうすればよいですか?Confluence インスタンスを復元するには何をする必要がありますか?Confluence をバックアップから復元しても、まだ危険にさらされていますか?Confluence ログで何を探すべきですか?Confluence インスタンスに悪意のあるプラグインがあるかを調べるにはどうすればよいですか?社内にセキュリティ チームがない場合はどうしたら良いですか?

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問