Не верь описанию уязвимости - может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023-22518). Как только эта уязвимость появилась, нам обещали, что злоумышленник никаких данных не получит, максимум повайпает (у вас же дампы есть - восстановите 😏).

"There is no impact to confidentiality as an attacker cannot exfiltrate any instance data."

В итоге через неделю оказалось, что с помощью этой уязвимости можно админа получить.

"This Improper Authorization vulnerability allows an unauthenticated attacker to reset Confluence and create a Confluence instance administrator account."

Упс. Ошибочка вышла. И выяснилось это, когда пошли реальные эксплуатации. 🤷‍♂️

Мораль: если видишь обновление безопасности в критичном софте, то не вчитывайся в описание, а тестируй и катай. Даже, если там про бла-бла-бла Memory Corruption, EoP или DoS. Не жди пока злоумышленники докрутят уязвимость до чего-то полезного. Целее будешь.

По поводу Improper Authorization уязвимости в Atlassian Confluence (CVE-2023-22518), которую я вчера упоминал. Для неё пока нет эксплоита и нет признака эксплуатации вживую. Технических деталей тоже почти нет. В описании уязвимости на NVD есть только упоминания, что

🔹 уязвимости подвержены все версии Confluence
🔹 уязвимость пока НЕ эксплуатируется вживую
🔹 уязвимость НЕ позволяет получить доступ к пользовательским данным
🔹 облачные инсталляции Confluence НЕ подвержены уязвимости

Однако бюллетень для этой уязвимости содержит сообщение от CISO Atlassian Bala Sathiamurthy. Он пишет, что клиенты могут потерять значительную часть данных, в случае эксплуатации этой уязвимости неаутентифицированным злоумышленником. Значит ли это, что скоро злоумышленники будут вайпить инсталляции Confluence, до которых смогут дотянуться? Похоже на то. 🧐

Уязвимость исправлена в версиях:

7.19.16 or later
8.3.4 or later
8.4.4 or later
8.5.3 or later
8.6.1 or later