Atlassian je upozorio na kritičnu sigurnosnu grešku u Confluence Data Centeru i Serveru koja bi mogla rezultirati “značajnim gubitkom podataka ako ih iskoristi napadač bez autentifikacije”.
Praćena kao CVE-2023-22518, ranjivost je ocijenjena sa 9,1 od maksimalnih 10 na CVSS sistemu bodovanja. To je opisano kao primjer “nepravilne ranjivosti autorizacije”.
Sve verzije Confluence Data Centra i Servera su podložne grešci i ona je riješena u sljedećim verzijama –
- 7.19.16 ili noviji
- 8.3.4 ili noviji
- 8.4.4 ili noviji
- 8.5.3 ili noviji, i
- 8.6.1 ili noviji
Uz to, australijska kompanija je naglasila da “nema uticaja na povjerljivost jer napadač ne može eksfiltrirati podatke o instanci.”
Nisu dostupni nikakvi drugi detalji o nedostatku i tačnoj metodi na koji je protivnik može iskoristiti, vjerovatno zbog činjenice da bi to moglo omogućiti hakerima da osmisle eksploataciju.
Atlassian takođe apeluje na korisnike da preduzmu hitne mjere kako bi osigurali svoje instance, preporučujući da one koje su dostupne na javnom internetu budu isključene dok se zakrpa ne bude mogla primijeniti.
Štaviše, korisnicima koji koriste verzije koje su izvan prozora podrške savjetujemo da nadograde na fiksnu verziju. Atlassian Cloud lokacije nisu pogođene ovim problemom.
Iako nema dokaza o aktivnoj eksploataciji, ranije otkriveni nedostaci u softveru, uključujući nedavno objavljeni CVE-2023-22515 , bili su naoružani od strane hakera.
Izvor: The Hacker News