Уязвимость RCE — Con­flu­ence (CVE-2024–21683) c публичным эксплоитами на GitHub. Для эксплуатации требуется аутентификация. Уязвимы и Con­flu­ence Data Cen­ter, и Con­flu­ence Serv­er.

🔻 Версия 8.5.9 LTS, исправляющая уязвимость, вышла 9 мая.
🔻 23 мая, после появление описания уязвимости в NVD и тикета от Atlass­ian, исследователь Huong Kieu изучил патч, описал уязвимость и сообщил, что у него получилось сделать PoC. В тот же день реализации эксплоита появились на GitHub.

Вероятно Atlass­ian придерживали информацию об исправлении уязвимости, чтобы больше организаций успели обновиться до начала активной эксплуатации. Правда, у них это не вполне получилось. Видимо они случайно опубликовали тикет 15 мая, а потом убрали до 23 мая. Но поисковик по уязвимостям Vul­ners всё запомнил. 😉 Так что информация об уязвимости всё это время была доступна. 🤷‍♂️