Atlassian призывает срочно обновить сервис Confluence

В Confluence от компании Atlassian обнаружена уязвимость, которую злоумышленники массово ищут и пытаются использовать в атаках. Эксперты считают, что эксплуатация будет только усиливаться, и призывают срочно обновить сервис.

Уязвимость CVE-2021-26084 связана с использованием языка Object-Graph Navigation Language (OGNL) в системе тегов. Она позволяет внедрить и исполнить произвольный код на OGNL на устройствах с Confluence Server или Confluence Data Center. В случае, если в Confluence включена опция Allow people to sign up to create their account, эксплуатировать ее может даже неавторизованный пользователь.

Atlassian присвоила уязвимости рейтинг 9,8 и статус критической. Более того, в сети уже появилось несколько демонстраций использования этой уязвимости, в том числе вариант с удалённым исполнением кода.

Atlassian выпустила исправление еще 25 августа. Пользователям рекомендуется не откладывать обновление серверов.

Патчи вышли для версий 6.13.23, 7.4.11, 7.11.6, 7.12.5 и 7.13.0, то есть в зоне риска остаются версии, предшествующие 6.13.23, а также версии 6.14.0 — 7.4.11, 7.5.0 — 7.11.6 и 7.12.0 — 7.12.5. Пользователей Confluence Cloud проблема не затрагивает. Atlassian советует всем переходить на самую свежую версию Confluence — клиенты нередко пренебрегают этим, поскольку даже более ранние функционируют нормально — и предлагает несколько обходных путей для Linux и Windows, если по каким-то причинам сделать это невозможно.

Summary of Vulnerability

This advisory discloses a critical severity security vulnerability. Confluence Server and Data Center versions before version 6.13.23, from version 6.14.0 before 7.4.11, from version 7.5.0 before 7.11.6, and from version 7.12.0 before 7.12.5 are affected by this vulnerability.

Другие новости