BDU:2024-02983

Опубликовано: 16 апр. 2024

Источник: fstec

CVSS3: 8.8

CVSS2: 10

Описание

Уязвимость дата центра Confluence Data Center существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации путём изменения системных вызовов

Вендор

Atlassian

Наименование ПО

Jira Data Center

Версия ПО

8.6.0 (Jira Data Center)

7.3.0 (Jira Data Center)

7.4.0 (Jira Data Center)

7.5.0 (Jira Data Center)

7.6.0 (Jira Data Center)

7.7.0 (Jira Data Center)

7.8.0 (Jira Data Center)

7.9.0 (Jira Data Center)

7.10.0 (Jira Data Center)

7.11.0 (Jira Data Center)

7.12.0 (Jira Data Center)

7.13.0 (Jira Data Center)

7.14.0 (Jira Data Center)

7.15.0 (Jira Data Center)

7.16.0 (Jira Data Center)

7.17.0 (Jira Data Center)

7.18.0 (Jira Data Center)

7.19.0 (Jira Data Center)

7.20.0 (Jira Data Center)

8.0.0 (Jira Data Center)

8.1.0 (Jira Data Center)

8.2.0 (Jira Data Center)

8.3.0 (Jira Data Center)

8.4.0 (Jira Data Center)

8.5.0 (Jira Data Center)

8.5.7 (Jira Data Center)

8.7.0 (Jira Data Center)

8.8.0 (Jira Data Center)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;

- ограничение доступа из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://jira.atlassian.com/rest/api/2/issue/2005000

https://www.atlassian.com/software/confluence/download-archives

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-21676
CVE

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-21676

nvd

почти 2 года назад

Rejected reason: This CVE's publication may have been a false positive or a mistake. As a result, we have rejected this record.

GHSA-xv6g-cccv-mjvg

CVSS3: 8.8

github

почти 2 года назад

This High severity Injection vulnerability was introduced in versions 7.3.0 of Confluence Data Center. This Injection vulnerability, with a CVSS Score of 8.8, allows an unauthenticated attacker to modify the actions taken by a system call which has high impact to confidentiality, high impact to integrity, high impact to availability, and requires user interaction. Atlassian recommends that Confluence Data Center customers upgrade to latest version, if you are unable to do so, upgrade your instance to one of the specified supported fixed versions: Confluence Data Center 8.5: Upgrade to a release greater than or equal to 8.5.8 See the release notes (https://confluence.atlassian.com/doc/confluence-release-notes-327.html). You can download the latest version of Confluence Data Center from the download center (https://www.atlassian.com/software/confluence/download-archives). This vulnerability was discovered by l3yx and reported via our Bug Bounty program

8.8 High

CVSS3

10 Critical

CVSS2