Не верь описанию уязвимости — может внезапно поменяться (на примере недавней Improp­er Autho­riza­tion в Con­flu­ence CVE-2023–22518). Как только эта уязвимость появилась, нам обещали, что злоумышленник никаких данных не получит, максимум повайпает (у вас же дампы есть — восстановите 😏).

"There is no impact to con­fi­den­tial­i­ty as an attack­er can­not exfil­trate any instance data."

В итоге через неделю оказалось, что с помощью этой уязвимости можно админа получить.

"This Improp­er Autho­riza­tion vul­ner­a­bil­i­ty allows an unau­then­ti­cat­ed attack­er to reset Con­flu­ence and cre­ate a Con­flu­ence instance admin­is­tra­tor account."

Упс. Ошибочка вышла. И выяснилось это, когда пошли реальные эксплуатации. 🤷‍♂️

Мораль: если видишь обновление безопасности в критичном софте, то не вчитывайся в описание, а тестируй и катай. Даже, если там про бла-бла-бла Mem­o­ry Cor­rup­tion, EoP или DoS. Не жди пока злоумышленники докрутят уязвимость до чего-то полезного. Целее будешь.