ГлавнаяБаза уязвимостей БДУ → BDU:2024-04006
9высокая

BDU:2024-04006

Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center, связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-05-24
Описание

Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Confluence Server (от 8.7.0 до 8.7.2 включительно)Jira Data Center (от 8.4.0 до 8.4.5 включительно)Jira Data Center (от 8.3.0 до 8.3.4 включительно)Jira Data Center (от 8.2.0 до 8.2.3 включительно)Jira Data Center (от 8.1.0 до 8.1.4 включительно)Jira Data Center (от 8.0.0 до 8.0.4 включительно)Jira Data Center (от 7.20.0 до 7.20.3 включительно)Confluence Server (от 8.4.0 до 8.4.5 включительно)Confluence Server (от 8.3.0 до 8.3.4 включительно)Confluence Server (от 8.2.0 до 8.2.3 включительно)Confluence Server (от 8.1.0 до 8.1.4 включительно)Confluence Server (от 8.0.0 до 8.0.4 включительно)Confluence Server (от 7.20.0 до 7.20.3 включительно)Jira Data Center (от 7.19.0 до 7.19.21 (LTS) включительно)Jira Data Center (от 8.5.0 до 8.5.8 (LTS) включительно)Jira Data Center (от 8.6.0 до 8.6.2 включительно)Jira Data Center (от 8.7.1 до 8.7.2 включительно)Jira Data Center (от 8.8.0 до 8.8.1 включительно)Jira Data Center (8.9.0)Confluence Server (от 7.19.0 до 7.19.21 (LTS) включительно)Confluence Server (от 8.5.0 до 8.5.8 (LTS) включительно)Confluence Server (от 8.6.0 до 8.6.2 включительно)Confluence Server (от 8.8.0 до 8.8.1 включительно)Confluence Server (8.9.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://confluence.atlassian.com/security/security-bulletin-may-21-2024-1387867145.html
https://jira.atlassian.com/browse/CONFSERVER-95832

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://confluence.atlassian.com/security/security-bulletin-may-21-2024-1387867145.htmlhttps://jira.atlassian.com/browse/CONFSERVER-95832
Проверьте безопасность своего сайта и почты → Полная проверка домена