Atlassian a mis en garde contre une faille de sécurité critique dans Confluence Data Center et Server qui pourrait entraîner « une perte de données importante si elle est exploitée par un attaquant non authentifié ».
Suivi comme CVE-2023-22518, la vulnérabilité est notée 9,1 sur un maximum de 10 sur le système de notation CVSS. Il a été décrit comme un exemple de « vulnérabilité d’autorisation inappropriée ».
Toutes les versions de Confluence Data Center et Server sont sensibles au bug, et celui-ci a été résolu dans les versions suivantes :
- 7.19.16 ou version ultérieure
- 8.3.4 ou version ultérieure
- 8.4.4 ou version ultérieure
- 8.5.3 ou version ultérieure, et
- 8.6.1 ou version ultérieure
Cela dit, la société australienne a souligné qu ‘ »il n’y a aucun impact sur la confidentialité puisqu’un attaquant ne peut exfiltrer aucune donnée d’instance ».
Aucun autre détail sur la faille et la méthode exacte par laquelle un adversaire peut en tirer parti n’a été rendu disponible, probablement en raison du fait que cela pourrait permettre aux acteurs malveillants de concevoir un exploit.
Atlassian exhorte également ses clients à prendre des mesures immédiates pour sécuriser leurs instances, en recommandant que celles qui sont accessibles à l’Internet public soient déconnectées jusqu’à ce qu’un correctif puisse être appliqué.
De plus, il est conseillé aux utilisateurs qui exécutent des versions en dehors de la fenêtre de support de passer à une version fixe. Les sites Atlassian Cloud ne sont pas concernés par le problème.
Bien qu’il n’y ait aucune preuve d’exploitation active dans la nature, les failles précédemment découvertes dans le logiciel, y compris le CVE-2023-22515 récemment rendu public, ont été exploitées par des acteurs malveillants.