exploitDog

CVE-2024-21690

Опубликовано: 21 авг. 2024

Источник: nvd

CVSS3: 7.1

CVSS3: 8.2

EPSS Низкий

Описание

This High severity Reflected XSS and CSRF (Cross-Site Request Forgery) vulnerability was introduced in versions 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, and 8.9.0 of Confluence Data Center and Server.

This Reflected XSS and CSRF (Cross-Site Request Forgery) vulnerability, with a CVSS Score of 7.1, allows an unauthenticated attacker to execute arbitrary HTML or JavaScript code on a victims browser and force a end user to execute unwanted actions on a web application in which they're currently authenticated which has high impact to confidentiality, low impact to integrity, no impact to availability, and requires user interaction. Atlassian recommends that Confluence Data Center and Server customers upgrade to latest version, if you are unable to do so, upgrade your instance to one of the specified supported fixed versions: * Confluence Data Center and Server 7.19: Upgrade to a release greater than or equal to 7.19.26 * Confluence Da

Ссылки

https://confluence.atlassian.com/pages/viewpage.action?pageId=1431535667
Vendor Advisory
https://jira.atlassian.com/browse/CONFSERVER-97720
Vendor Advisory
Issue Tracking

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 7.19.0 (включая) до 7.19.25 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 7.20.0 (включая) до 7.20.3 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.0.0 (включая) до 8.0.4 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.1.0 (включая) до 8.1.4 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.2.0 (включая) до 8.2.3 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.3.0 (включая) до 8.3.4 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.4.0 (включая) до 8.4.5 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.5.0 (включая) до 8.5.12 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.6.0 (включая) до 8.6.2 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.7.1 (включая) до 8.7.2 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.8.0 (включая) до 8.8.1 (включая)

cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:*

Версия от 8.9.0 (включая) до 8.9.4 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 7.19.0 (включая) до 7.19.25 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 7.20.0 (включая) до 7.20.3 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.0.0 (включая) до 8.0.4 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.1.0 (включая) до 8.1.4 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.2.0 (включая) до 8.2.3 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.3.0 (включая) до 8.3.4 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.4.0 (включая) до 8.4.5 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.5.0 (включая) до 8.5.12 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.6.0 (включая) до 8.6.2 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.7.1 (включая) до 8.7.2 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.8.0 (включая) до 8.8.1 (включая)

cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:*

Версия от 8.9.0 (включая) до 8.9.4 (включая)

EPSS

Процентиль: 79%

0.01325

Низкий

7.1 High

CVSS3

8.2 High

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-hm5h-rw9m-g27p

CVSS3: 7.1

github

12 месяцев назад

This High severity Reflected XSS and CSRF (Cross-Site Request Forgery) vulnerability was introduced in versions 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, and 8.9.0 of Confluence Data Center and Server. This Reflected XSS and CSRF (Cross-Site Request Forgery) vulnerability, with a CVSS Score of 7.1, allows an unauthenticated attacker to execute arbitrary HTML or JavaScript code on a victims browser and force a end user to execute unwanted actions on a web application in which they're currently authenticated which has high impact to confidentiality, low impact to integrity, no impact to availability, and requires user interaction. Atlassian recommends that Confluence Data Center and Server customers upgrade to latest version, if you are unable to do so, upgrade your instance to one of the specified supported fixed versions: * Confluence Data Center and Server 7.19: Upgrade to a release greater than or equal to 7.19.26 * Confluence...

EPSS

Процентиль: 79%

0.01325

Низкий

7.1 High

CVSS3

8.2 High

CVSS3

Дефекты

CWE-79