В Confluence нашли серьёзную уязвимость, которую активно эксплуатируют хакеры
Кибернетическое командование США (US Cybercom) предупредило об уязвимости в вики-системе Confluence от компании Atlassian, которую злоумышленники массово ищут и пытаются использовать в атаках. Эксперты считают, что эксплуатация будет только усиливаться, и призывают срочно обновить сервис.
Уязвимость CVE-2021-26084 связана с использованием языка Object-Graph Navigation Language (OGNL) в системе тегов. Она позволяет внедрить и исполнить произвольный код на OGNL на устройствах с Confluence Server или Confluence Data Center. В случае, если в Confluence включена опция Allow people to sign up to create their account, эксплуатировать ее может даже неавторизованный пользователь.
Atlassian присвоила уязвимости рейтинг 9,8 и статус критической. Более того, в сети уже появилось несколько демонстраций использования этой уязвимости, в том числе вариант с удалённым исполнением кода.
О проблеме стало известно ещё 27 июля, исправление разработчики выпустили 25 августа. Пользователям рекомендуется не откладывать обновление серверов.
Патчи вышли для версий 6.13.23, 7.4.11, 7.11.6, 7.12.5 и 7.13.0, то есть в зоне риска остаются версии, предшествующие 6.13.23, а также версии 6.14.0 — 7.4.11, 7.5.0 — 7.11.6 и 7.12.0 — 7.12.5. Пользователей Confluence Cloud проблема не затрагивает. Компания советует всем переходить на самую свежую версию Confluence — клиенты нередко пренебрегают этим, поскольку даже более ранние функционируют нормально — и предлагает несколько обходных путей для Linux и Windows, если по каким-то причинам сделать это невозможно.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.