Компания Atlassian предупредила администраторов о критической уязвимости в Confluence. Эксплуатация этой проблемы может привести к потере данных, поэтому разработчики призывают установить патчи как можно быстрее.
Уязвимость получила идентификатор CVE-2023-22518 (9,1 балла из 10 по шкале CVSS) и затрагивает все версии Confluence Data Center и Confluence Server. Проблема связана с некорректной авторизацией, и компания предупредила, что злоумышленники могут использовать ее уничтожения данных на уязвимых серверах.
При этом отмечается, что ошибку нельзя использовать для «слива» данных, а также ей не подвержены сайты Atlassian Cloud, доступ к которым осуществляется через домен atlassian.net.
Проблема уже устранена в составе Confluence Data Center и Server версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1.
При этом пока нет никаких подробностей о самой уязвимости и том, как именно ею могут воспользоваться злоумышленники, так как в компании опасаются появления эксплоитов для CVE-2023-22518.
Также интересно, что бюллетень безопасности Atlassian содержит обращение главы компании по информационной безопасности Бала Сатьиамурти (Bala Sathiamurthy), который лично призывает компании «немедленно принять меры» и установить патчи, чтобы избежать рисков потери данных, которые возможны, если баг используют неавторизованные злоумышленники. Сатьиамурти подчеркивает, что в настоящее время данных об активной эксплуатации проблемы нет, но меры стоит принять незамедлительно.
Если же возможности установить патчи пока нет, компаниям рекомендуется как можно скорее озаботиться резервным копированием непропатченных инстансов и заблокировать им доступ в интернет вплоть до установки патчей.
«Инстансы, доступные через интернет, в том числе с аутентификацией пользователей, должны быть ограничены от доступа во внешнюю сеть до тех пор, пока не будет произведено обновление», — предупреждают в компании.