7.5высокая
BDU:2024-01509
Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-02-22
Описание
Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Затрагиваемое ПО и версии
Jira Data Center (от 8.7.0 до 8.7.1 включительно)Jira Data Center (от 8.6.0 до 8.6.1 включительно)Jira Data Center (от 8.5.0 до 8.5.4 LTS включительно)Jira Data Center (от 8.4.0 до 8.4.5 включительно)Jira Data Center (от 8.3.0 до 8.3.4 включительно)Jira Data Center (от 8.2.0 до 8.2.3 включительно)Jira Data Center (от 8.1.0 до 8.1.4 включительно)Jira Data Center (от 8.0.0 до 8.0.4 включительно)Jira Data Center (от 7.20.0 до 7.20.3 включительно)Jira Data Center (от 7.19.0 до 7.19.17 LTS включительно)Jira Data Center (от 7.18.0 до 7.18.3 включительно)Jira Data Center (от 7.17.0 до 7.17.5 включительно)Confluence Server (от 8.5.0 до 8.5.4 LTS включительно)Confluence Server (от 8.4.0 до 8.4.5 включительно)Confluence Server (от 8.3.0 до 8.3.4 включительно)Confluence Server (от 8.2.0 до 8.2.3 включительно)Confluence Server (от 8.1.0 до 8.1.4 включительно)Confluence Server (от 8.0.0 до 8.0.4 включительно)Confluence Server (от 7.20.0 до 7.20.3 включительно)Confluence Server (от 7.19.0 до 7.19.17 LTS включительно)Confluence Server (от 7.18.0 до 7.18.3 включительно)Confluence Server (от 7.17.0 до 7.17.5 включительно)
Способ устранения
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости;
- использование средств обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- использование средств межсетевого экранирования
для ограничения возможности удалённого доступа;
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://confluence.atlassian.com/security/security-bulletin-february-20-2024-1354501606.html
https://jira.atlassian.com/browse/CONFSERVER-94513
Оценка CVSS
| Балл | 7.5 — высокая опасность |
Источники и патчи