Очередная критичная RCE в Con­flu­ence (CVE-2023–22527). CVSS 10.

"Уязвимость внедрения шаблона (tem­plate injec­tion) в устаревших версиях Con­flu­ence Data Cen­ter и Serv­er позволяет неаутентифицированному злоумышленнику получить RCE в уязвимой версии."

Пишут, что уязвимы версии, выпущенные до 5 декабря 2023 года (8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0–8.5.3) и EoL версии. По поводу 7.19 LTS, которая должна поддерживаться до 28 июля 2024 года, пишут, что патч выпустят, но пока его нет.

Про эксплоиты и эксплуатацию вживую пока не пишут. Но с обновлением (а лучше миграцией на другое решение 😉) лучше не затягивать. До эксплуатабельного состояния подобные уязвимости Con­flu­ence докручивают довольно быстро.