Xakep #305. Многошаговые SQL-инъекции
Atlassian Confluence Data Center и Confluence Server подвержены критической RCE-уязвимости, которая затрагивает версии, выпущенные до 5 декабря 2023 года, включая уже неподдерживаемые.
Ошибка имеет идентификатор CVE-2023-22527 и получила максимальные 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Баг представляет собой уязвимость типа template injection, позволяющую неаутентифицированным злоумышленникам осуществлять удаленное выполнение кода на уязвимых эндпоинтах Confluence.
«Большинство поддерживаемых версий Confluence Data Center и Server не затронуты этой уязвимостью, поскольку она была устранена в ходе регулярных обновлений, — говорится в сообщении Atlassian. — Тем не менее, Atlassian рекомендует клиентам установить новейшую версию, чтобы защитить свои экземпляры от других некритических уязвимостей, описанных в январском бюллетене безопасности».
Сообщается, что уязвимость затрагивает Confluence Data Center и Server версий 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0-8.5.3. Atlassian устранила проблему в Confluence Data Center и Server версий 8.5.4 (LTS), 8.6.0 (только Data Center) и 8.7.1 (только Data Center), выпущенных в декабре.
При этом Atlassian отмечает, что 8.4.5 и все предыдущие ветки, которые уже не поддерживаются, не получат патчи. Пользователям этих версий рекомендуется как можно скорее переходить на поддерживаемые версии.
Также на специальной странице FAQ, посвященной уязвимости, сообщается, что CVE-2023-22527 не влияет на Confluence LTS v7.19.x, облачные инстансы вендора или любые другие продукты Atlassian.