Dana 20. veljače 2024. godine, tvrtka Atlassian je objavila sigurnosno upozorenje o ranjivosti visoke razine rizika u Confluence Data Centeru i Confluence Serveru. Iskorištavanje ranjivosti može omogućiti autentificiranom napadaču izvršavanje proizvoljnog HTML ili JavaScript koda na web pregledniku žrtve. Sigurnosno upozorenje također adresira još 10 ranjivosti visoke razine rizika koje su ispravljene u novim inačicama Atlassian proizvoda.
 

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 

Ranjivost CVE-2024-21678 (CVSS ocjena 8.5), predstavlja Stored Cross-Site Scripting (XSS) ranjivost koja omogućuje autentificiranom napadaču izvršavanje proizvoljnog HTML ili JavaScript koda na web pregledniku žrtve, što ima visok utjecaj na povjerljivost, nizak utjecaj na integritet te nema utjecaja na dostupnost i ne zahtijeva korisničku interakciju.

Među drugih 10 ranjivosti, 9 njih omogućuje neautentificiranom napadaču otkrivanje resursa u ranjivoj okolini što može imati utjecaj na povjerljivost, integritet ili dostupnost i ne zahtijeva korisničku interakciju.
 

Zahvaćeni proizvodi:

Ranjivost CVE-2024-21678 zahvaća sljedeće verzije Confluence Data Centera i Confluence Server:

• od 8.7.0 do 8.7.1 (samo Confluence Data Center)

• od 8.6.0 do 8.6.1 (samo Confluence Data Center)

• od 8.5.0 do 8.5.4 LTS

• od 8.4.0 do 8.4.5

• od 8.3.0 do 8.3.4

• od 8.2.0 do 8.2.3

• od 8.1.0 do 8.1.4

• od 8.0.0 do 8.0.4

• od 7.20.0 do 7.20.3

• od 7.19.0 do 7.19.17 LTS

• od 7.18.0 do 7.18.3

• od 7.17.0 do 7.17.5

• Bilo koje ranije verzije

Drugih 10 ranjivosti visoke razine rizika zahvaća nekoliko proizvoda tvrtke Atlassian. Potpuni popis se može pronaći na službenim web stranicama.
 

Preporuke: 

Preporučuje se žurna nadogradnja ranjivih Atlassian proizvoda na najnoviju dostupnu inačicu.
 

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 22.2.2024 - 14:17]