Atlassian, Confluence Veri Merkezi ve Confluence Server yazılımının tüm sürümlerinin uygunsuz yetkilendirme güvenlik açığına karşı savunmasız olduğuna dair döngü dışı bir uyarı yayınladı.
Şirketin CVE-2023-22518’e ilişkin tavsiye belgesinde, şirketin CISO’su Bala Sathiamurthy’ye, güvenlik açığından yararlanılması halinde kullanıcıların “önemli miktarda veri kaybına karşı savunmasız” olacağını söyleyen bir mesaj atfedildi.
“Şu anda aktif sömürüye dair herhangi bir rapor yok; ancak müşterilerin bulut sunucularını korumak için derhal harekete geçmesi gerekiyor,” diye yazdı Sathiamurthy.
Atlassian’ın yamaları “aylık danışma programımızın dışında” sunacağını sürdürdü.
Uyarı belgesinde “Confluence Data Center ve Server’ın tüm sürümlerinin bu kullanılmayan güvenlik açığından etkilendiği” belirtildi. Bir saldırgan herhangi bir örnek veriyi sızdıramayacağı için gizliliğin hiçbir etkisi yoktur.”
Hata, Atlassian Cloud sitelerini (yani atlassian.net alanı üzerinden erişilenleri) etkilemez.
Ortak Güvenlik Açığı Puanlama Sistemindeki hata oranları 9,1’dir.
Atlassian’ın güvenlik açığına ilişkin açıklaması ayrıntı açısından hafif olsa da, hatanın Jira biletindeki tartışma bazı ipuçları veriyor.
Görünüşe göre hata, dosya tanımlayıcılarının sızmasına neden oluyor.
Mavenir’den Martin Palecek adlı bir kullanıcı şu yorumu yaptı: “Bizim durumumuzda dosya tanımlayıcılarını sızdıran şey ekler değildir. Bizim durumumuzda bunlar kullanıcı avatarlarıdır ve kullanıcı avatarlarından başka bir şey değildir.
“Sızıntı oranı, sunucunun işlediği isteklerin oranlarıyla bir şekilde orantılı görünüyor.”