Сегодня пишут про 2 RCE уязвимости в Atlassian Confluence (Data Center & Server), хотя бюллетень вышел ещё неделю назад.
CVE-2023-22505. Уязвимы версии с 8.0.0, пофикшено с 8.3.2, 8.4.0.
CVE-2023-22508. Уязвимы версии с 7.4.0, пофикшено с 8.2.0.
В NVD забавное генеренное описание на основе CVSS:
"allows an authenticated attacker to execute arbitrary code which has high impact to confidentiality, high impact to integrity, high impact to availability, and no user interaction"
"позволяет аутентифицированному злоумышленнику выполнять произвольный код, который сильно влияет на конфиденциальность, сильно влияет на целостность, сильно влияет на доступность и не требует взаимодействия с пользователем"
В том же бюллетене есть RCE уязвимость CVE-2023-22506 в Atlassian Bamboo (инструмент непрерывной интеграции и развертывания).
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.