В новостях активно разгоняют про EoP в Atlassian Confluence (CVE-2023-22515). Злоумышленник может создавать неавторизованные аккаунты администратора Confluence и получать доступ к инстансам Confluence. Atlassian пишут, что некоторых их клиентов, у которых Confluence наружу торчит, таким образом уже поломали. Если это EoP у злоумышленника должен быть аккаунт какой-то, так ведь? А вот непонятно. Может там и обход аутентификации есть, уж больно CVSS большой. Уязвимы версии 8.*, а более старые версии неуязвимы (включая 7.19 LTS с EOL date: 28 Jul 2024). Если уязвимы, то обновляйтесь до 8.3.3, 8.4.3, 8.5.2 или применяйте workaround. Хотя лучше мигрируйте с продуктов Atlassian куда подальше.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.
Уведомление: По поводу подозрительной EoP в Confluence (CVE-2023-22515), которая вышла на прошлой неделе, опасения подтвердились | Александр В. Леонов