Сегодня пишут про 2 RCE уязвимости в Atlassian Confluence (Data Center & Server), хотя бюллетень вышел ещё неделю назад.
CVE-2023-22505. Уязвимы версии с 8.0.0, пофикшено с 8.3.2, 8.4.0.
CVE-2023-22508. Уязвимы версии с 7.4.0, пофикшено с 8.2.0.
В NVD забавное генеренное описание на основе CVSS:
"allows an authenticated attacker to execute arbitrary code which has high impact to confidentiality, high impact to integrity, high impact to availability, and no user interaction"
"позволяет аутентифицированному злоумышленнику выполнять произвольный код, который сильно влияет на конфиденциальность, сильно влияет на целостность, сильно влияет на доступность и не требует взаимодействия с пользователем"
В том же бюллетене есть RCE уязвимость CVE-2023-22506 в Atlassian Bamboo (инструмент непрерывной интеграции и развертывания).
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте.
And I invite all English-speaking people to another Telegram channel @avleonovcom.