Очередная критичная RCE в Confluence (CVE-2023-22527). CVSS 10.
"Уязвимость внедрения шаблона (template injection) в устаревших версиях Confluence Data Center и Server позволяет неаутентифицированному злоумышленнику получить RCE в уязвимой версии."
Пишут, что уязвимы версии, выпущенные до 5 декабря 2023 года (8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3) и EoL версии. По поводу 7.19 LTS, которая должна поддерживаться до 28 июля 2024 года, пишут, что патч выпустят, но пока его нет.
Про эксплоиты и эксплуатацию вживую пока не пишут. Но с обновлением (а лучше миграцией на другое решение 😉) лучше не затягивать. До эксплуатабельного состояния подобные уязвимости Confluence докручивают довольно быстро.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте.
And I invite all English-speaking people to another Telegram channel @avleonovcom.
Уведомление: Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках? | Александр В. Лео
Уведомление: Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать | Александр В. Леонов