Не верь описанию уязвимости — может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023–22518). Как только эта уязвимость появилась, нам обещали, что злоумышленник никаких данных не получит, максимум повайпает (у вас же дампы есть — восстановите 😏).
"There is no impact to confidentiality as an attacker cannot exfiltrate any instance data."
В итоге через неделю оказалось, что с помощью этой уязвимости можно админа получить.
"This Improper Authorization vulnerability allows an unauthenticated attacker to reset Confluence and create a Confluence instance administrator account."
Упс. Ошибочка вышла. И выяснилось это, когда пошли реальные эксплуатации. 🤷♂️
Мораль: если видишь обновление безопасности в критичном софте, то не вчитывайся в описание, а тестируй и катай. Даже, если там про бла-бла-бла Memory Corruption, EoP или DoS. Не жди пока злоумышленники докрутят уязвимость до чего-то полезного. Целее будешь.
Уведомление: Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков | Александр В. Леонов