Atlassian, Confluence Veri Merkezi ve Sunucusunda “kimliği doğrulanmamış bir saldırgan tarafından kullanılması durumunda önemli veri kaybına” yol açabilecek kritik bir güvenlik açığı konusunda uyardı.
Şu şekilde izlendi: CVE-2023-22518güvenlik açığı CVSS puanlama sisteminde maksimum 10 üzerinden 9,1 olarak derecelendirilmiştir. Bu, “uygunsuz yetkilendirme güvenlik açığı” örneği olarak tanımlandı.
Confluence Data Center ve Server’ın tüm sürümleri bu hatadan etkilenebilir ve bu sorun aşağıdaki sürümlerde giderilmiştir:
- 7.19.16 veya üzeri
- 8.3.4 veya üzeri
- 8.4.4 veya üzeri
- 8.5.3 veya üzeri ve
- 8.6.1 veya üzeri
Bununla birlikte Avustralyalı şirket, “bir saldırganın herhangi bir örnek veriyi sızdıramayacağı için gizliliğin herhangi bir etkisi olmadığını” vurguladı.
Bu kusur ve bir saldırganın bundan yararlanabileceği kesin yöntem hakkında başka hiçbir ayrıntı açıklanmadı; bunun nedeni muhtemelen bunu yapmanın tehdit aktörlerinin bir istismar tasarlamasına olanak sağlaması olabilir.
Atlassian ayrıca müşterilerini bulut sunucularının güvenliğini sağlamak için derhal harekete geçmeye çağırıyor ve bir yama uygulanana kadar halka açık internete erişilebilenlerin bağlantısının kesilmesini öneriyor.
Dahası, destek penceresinin dışındaki sürümleri çalıştıran kullanıcıların sabit bir sürüme yükseltmeleri önerilir. Atlassian Cloud siteleri bu sorundan etkilenmemektedir.
Ortalıkta aktif bir şekilde istismar edildiğine dair bir kanıt olmasa da, yakın zamanda duyurulan CVE-2023-22515 de dahil olmak üzere yazılımda daha önce keşfedilen eksiklikler, tehdit aktörleri tarafından silah haline getirildi.