# CVE-2023-22527 > [!critical] CVSS 10.0 - RCE crítico no Confluence via Template Injection - exploração massiva em 2024 > Vulnerabilidade de Server-Side Template Injection com CVSS máximo no Atlassian Confluence Data Center e Server. Permite execução remota de código sem autenticação. Explorada em escala massiva desde sua divulgação em janeiro de 2024. ## Visão Geral A [[cve-2023-22527|CVE-2023-22527]] é uma das vulnerabilidades mais críticas de 2024, com CVSS máximo de 10.0 no Atlassian Confluence Data Center e Server. A falha de Server-Side Template Injection (SSTI) permite que qualquer atacante remoto, sem autenticação, injete templates maliciosos que são executados no servidor, resultando em execução de código arbitrário. Divulgada em janeiro de 2024, a exploração foi práticamente imediata e massiva. Grupos de ameaça estado-nação como operadores de [[godzilla-webshell|webshell Godzilla]] e grupos de cryptomining iniciaram varreduras e exploração ativa em escala global nas horas após a públicação do PoC. O Confluence é uma plataforma central em ambientes corporativos - seu comprometimento frequentemente significa acesso a documentação interna, chaves de API armazenadas em páginas, e conexões com outros sistemas Atlassian (Jira, Bitbucket). No Brasil e LATAM, onde Confluence é amplamente utilizado por empresas de tecnologia, financeiras e consultorias, esta CVE representa risco de comprometimento de repositórios de conhecimento sensíveis e de movimentação lateral para sistemas integrados. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 10.0 (Critical - máximo) | | **Tipo** | Server-Side Template Injection (SSTI) | | **Autenticação** | Não requerida | | **Versões afetadas** | 8.0.x a 8.5.3 (não afeta versões cloud) | | **Patch** | 8.5.4+ / 8.6.0+ (16 jan 2024) | | **Componente** | Velocity template engine | ## Mecanismo e Exploração A injeção ocorre em endpoints que processam templates Velocity sem sanitização adequada: 1. Requisição POST para endpoint vulnerável com payload SSTI 2. Motor Velocity executa expressão como código Java 3. Acesso ao sistema de arquivos e execução de comandos 4. Possível escalação para RCE completo no servidor **TTPs observados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1005-data-from-local-system|T1005]] · [[t1496-resource-hijacking|T1496]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar Confluence para 8.5.4+ ou 8.6.0+ urgentemente - Se não possível atualizar, restringir acesso externo ao Confluence - Auditar logs por requisições POST com caracteres `#set`, `#evaluate` ou `${` **Detecção:** - Monitorar criação de webshells em diretórios do Confluence - Alertar em execuções de processo incomuns pelo processo Confluence **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1042-disable-or-remove-feature-or-program|M1042]] > [!latam] Relevância LATAM > Confluence é amplamente usado por empresas de tecnologia e fintechs no Brasil, Argentina e Chile. A exploração desta CVE por grupos de cryptomining e APTs foi global e imediata. Toda instância auto-hospedada do Confluence nas versões afetadas deve ser considerada potencialmente comprometida. ## Referências - [Atlassian Security Advisory CVE-2023-22527](https://confluence.atlassian.com/security/CVE-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-1333990257.html) - [ProjectDiscovery - PoC Analysis](https://projectdiscovery.io/blog/atlassian-confluence-ssti-remote-code-execution) - [BleepingComputer - Mass Exploitation](https://www.bleepingcomputer.com/news/security/atlassian-confluence-rce-bug-exploited-in-attacks-in-the-wild/)