В новостях активно разгоняют про EoP в Atlassian Confluence (CVE-2023–22515). Злоумышленник может создавать неавторизованные аккаунты администратора Confluence и получать доступ к инстансам Confluence. Atlassian пишут, что некоторых их клиентов, у которых Confluence наружу торчит, таким образом уже поломали. Если это EoP у злоумышленника должен быть аккаунт какой-то, так ведь? А вот непонятно. Может там и обход аутентификации есть, уж больно CVSS большой. Уязвимы версии 8.*, а более старые версии неуязвимы (включая 7.19 LTS с EOL date: 28 Jul 2024). Если уязвимы, то обновляйтесь до 8.3.3, 8.4.3, 8.5.2 или применяйте workaround. Хотя лучше мигрируйте с продуктов Atlassian куда подальше.
В новостях активно разгоняют про EoP в Atlassian Confluence (CVE-2023–22515)
Добавить комментарий