Не верь описанию уязвимости — может внезапно поменяться (на примере недавней Improp­er Autho­riza­tion в Con­flu­ence CVE-2023–22518). Как только эта уязвимость появилась, нам обещали, что злоумышленник никаких данных не получит, максимум повайпает (у вас же дампы есть — восстановите 😏).

"There is no impact to con­fi­den­tial­i­ty as an attack­er can­not exfil­trate any instance data."

В итоге через неделю оказалось, что с помощью этой уязвимости можно админа получить.

"This Improp­er Autho­riza­tion vul­ner­a­bil­i­ty allows an unau­then­ti­cat­ed attack­er to reset Con­flu­ence and cre­ate a Con­flu­ence instance admin­is­tra­tor account."

Упс. Ошибочка вышла. И выяснилось это, когда пошли реальные эксплуатации. 🤷‍♂️

Мораль: если видишь обновление безопасности в критичном софте, то не вчитывайся в описание, а тестируй и катай. Даже, если там про бла-бла-бла Mem­o­ry Cor­rup­tion, EoP или DoS. Не жди пока злоумышленники докрутят уязвимость до чего-то полезного. Целее будешь.

По поводу Improp­er Autho­riza­tion уязвимости в Atlass­ian Con­flu­ence (CVE-2023–22518), которую я вчера упоминал. Для неё пока нет эксплоита и нет признака эксплуатации вживую. Технических деталей тоже почти нет. В описании уязвимости на NVD есть только упоминания, что

🔹 уязвимости подвержены все версии Con­flu­ence
🔹 уязвимость пока НЕ эксплуатируется вживую
🔹 уязвимость НЕ позволяет получить доступ к пользовательским данным
🔹 облачные инсталляции Con­flu­ence НЕ подвержены уязвимости

Однако бюллетень для этой уязвимости содержит сообщение от CISO Atlass­ian Bala Sathi­a­murthy. Он пишет, что клиенты могут потерять значительную часть данных, в случае эксплуатации этой уязвимости неаутентифицированным злоумышленником. Значит ли это, что скоро злоумышленники будут вайпить инсталляции Con­flu­ence, до которых смогут дотянуться? Похоже на то. 🧐

Уязвимость исправлена в версиях:

7.19.16 or lat­er
8.3.4 or lat­er
8.4.4 or lat­er
8.5.3 or lat­er
8.6.1 or lat­er