9высокая
BDU:2024-04006
Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center, связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-05-24
Описание
Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
Confluence Server (от 8.7.0 до 8.7.2 включительно)Jira Data Center (от 8.4.0 до 8.4.5 включительно)Jira Data Center (от 8.3.0 до 8.3.4 включительно)Jira Data Center (от 8.2.0 до 8.2.3 включительно)Jira Data Center (от 8.1.0 до 8.1.4 включительно)Jira Data Center (от 8.0.0 до 8.0.4 включительно)Jira Data Center (от 7.20.0 до 7.20.3 включительно)Confluence Server (от 8.4.0 до 8.4.5 включительно)Confluence Server (от 8.3.0 до 8.3.4 включительно)Confluence Server (от 8.2.0 до 8.2.3 включительно)Confluence Server (от 8.1.0 до 8.1.4 включительно)Confluence Server (от 8.0.0 до 8.0.4 включительно)Confluence Server (от 7.20.0 до 7.20.3 включительно)Jira Data Center (от 7.19.0 до 7.19.21 (LTS) включительно)Jira Data Center (от 8.5.0 до 8.5.8 (LTS) включительно)Jira Data Center (от 8.6.0 до 8.6.2 включительно)Jira Data Center (от 8.7.1 до 8.7.2 включительно)Jira Data Center (от 8.8.0 до 8.8.1 включительно)Jira Data Center (8.9.0)Confluence Server (от 7.19.0 до 7.19.21 (LTS) включительно)Confluence Server (от 8.5.0 до 8.5.8 (LTS) включительно)Confluence Server (от 8.6.0 до 8.6.2 включительно)Confluence Server (от 8.8.0 до 8.8.1 включительно)Confluence Server (8.9.0)
Способ устранения
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://confluence.atlassian.com/security/security-bulletin-may-21-2024-1387867145.html
https://jira.atlassian.com/browse/CONFSERVER-95832
Оценка CVSS
| Балл | 9 — высокая опасность |
Источники и патчи