Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08564

Опубликовано: 01 янв. 2023
Источник: fstec
CVSS3: 9
CVSS2: 7.1
EPSS Средний

Описание

Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить атаку типа «Server-Side Template Injection»

Вендор

Atlassian

Наименование ПО

Confluence Server
Data Center

Версия ПО

от 4.0.0 до 7.19.17 (LTS) (Confluence Server)
от 8.0.0 до 8.4.5 (Confluence Server)
от 8.5.0 до 8.5.4 (LTS) (Confluence Server)
8.6.0 (Data Center)
8.6.1 (Data Center)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.42294
Средний

9 Critical

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-22522

CVSS3: 8.8
nvd
больше 1 года назад

This Template Injection vulnerability allows an authenticated attacker, including one with anonymous access, to inject unsafe user input into a Confluence page. Using this approach, an attacker is able to achieve Remote Code Execution (RCE) on an affected instance. Publicly accessible Confluence Data Center and Server versions as listed below are at risk and require immediate attention. See the advisory for additional details Atlassian Cloud sites are not affected by this vulnerability. If your Confluence site is accessed via an atlassian.net domain, it is hosted by Atlassian and is not vulnerable to this issue.

github логотип

GHSA-rcjw-44p8-ppj6

CVSS3: 9
github
больше 1 года назад

This Template Injection vulnerability allows an authenticated attacker, including one with anonymous access, to inject unsafe user input into a Confluence page. Using this approach, an attacker is able to achieve Remote Code Execution (RCE) on an affected instance. Publicly accessible Confluence Data Center and Server versions as listed below are at risk and require immediate attention. See the advisory for additional details Atlassian Cloud sites are not affected by this vulnerability. If your Confluence site is accessed via an atlassian.net domain, it is hosted by Atlassian and is not vulnerable to this issue.

EPSS

Процентиль: 97%
0.42294
Средний

9 Critical

CVSS3

7.1 High

CVSS2