Atlassian исправила серьезные RCE-уязвимости в Confluence Data | SecAtor

Atlassian исправила серьезные RCE-уязвимости в Confluence Data Center и Server, а также для одной уязвимости в Bamboo Data Center.

Самая серьезная из этих проблем отслеживается как CVE-2023-22508 (оценка CVSS 8,5) и закралась в Confluence с версии 7.4.0, а другая CVE-2023-22505 (оценка CVSS 8,0) - с версии 8.0.0.

Использование обеих уязвимостей может позволить злоумышленнику выполнить произвольный код, что повлияет на конфиденциальность, целостность и доступность.

Для эксплуатации не требуется взаимодействия с пользователем, но злоумышленник должен пройти аутентификацию как действительный пользователь.

Оба недостатка были устранены с выпуском версий Confluence 8.3.2 и 8.4.0.

Клиентам, которым не удается выполнить обновление до одной из этих версий, необходимо выполнить обновление как минимум до 8.2.0, которая исправляет CVE-2023-22508.

Atlassian также объявила об исправлениях для CVE-2023-22506 (оценка CVSS 7,5), серьезной ошибки RCE в Bamboo Data Center.

Уязвимость, появившаяся в версии 8.0.0 Bamboo, была устранена с выпуском 9.2.3 и 9.3.1 корпоративного решения.

Пользователям и администраторам рекомендуется установить доступные исправления как можно скорее, даже несмотря на то, что Atlassian не упоминает об эксплуатации в дикой природе.

Ведь успешная эксплуатация этих ошибок может привести к захвату системы.