Atlassian advirtió sobre una falla de seguridad crítica en el centro de datos y el servidor de Confluence que podría resultar en una «pérdida de datos significativa si la explota un atacante no autenticado».
Seguimiento como CVE-2023-22518, la vulnerabilidad tiene una calificación de 9,1 sobre un máximo de 10 en el sistema de puntuación CVSS. Se ha descrito como un caso de «vulnerabilidad de autorización inadecuada».
Todas las versiones de Confluence Data Center y Server son susceptibles al error y se ha solucionado en las siguientes versiones:
- 19.7.16 o posterior
- 8.3.4 o posterior
- 8.4.4 o posterior
- 8.5.3 o posterior, y
- 8.6.1 o posterior
Dicho esto, la compañía australiana enfatizó que «no hay ningún impacto en la confidencialidad ya que un atacante no puede filtrar datos de ninguna instancia».
No se han proporcionado más detalles sobre la falla y el método exacto mediante el cual un adversario puede aprovecharla, probablemente debido al hecho de que hacerlo podría permitir a los actores de amenazas idear un exploit.
Atlassian también insta a los clientes a tomar medidas inmediatas para proteger sus instancias, recomendando que aquellas a las que se pueda acceder a Internet público se desconecten hasta que se pueda aplicar un parche.
Es más, se recomienda a los usuarios que ejecutan versiones que están fuera de la ventana de soporte que actualicen a una versión fija. Los sitios de Atlassian Cloud no se ven afectados por el problema.
Si bien no hay evidencia de explotación activa en la naturaleza, los actores de amenazas han convertido en armas las deficiencias descubiertas anteriormente en el software, incluido el recientemente publicado CVE-2023-22515.