Atlassian’ın, birçok kuruluşun geniş çapta benimsediği Confluence Yazılımında kritik bir güvenlik açığı olduğu bildirildi.
Bu güvenlik açığına ilişkin CVE, CVE-2023-22518 olarak atanmış ve önem derecesi 9,1 (Kritik).
Atlassian, son güvenlik tavsiyesinde bu güvenlik açığını ele aldı ve en son sürümünde düzeltti. Ayrıca bu güvenlik açığından etkilenen Confluence sürümlerini de yayımladılar.
CVE-2023-22518 – Uygunsuz Yetkilendirme Güvenlik Açığı
Bu güvenlik açığı, Confluence Veri Merkezi ve Sunucu müşterilerini etkileyerek, kimliği doğrulanmamış bir tehdit aktörü tarafından kullanılması durumunda önemli miktarda veri kaybına yol açma potansiyeline sahiptir. Atlassian bu güvenlik açığıyla ilgili herhangi bir ek ayrıntı yayınlamadı.
“Sürekli güvenlik değerlendirme süreçlerimizin bir parçası olarak, Confluence Veri Merkezi ve Sunucu müşterilerinin, kimliği doğrulanmamış bir saldırgan tarafından kullanılması durumunda önemli miktarda veri kaybına karşı savunmasız olduklarını keşfettik. Şu anda aktif sömürüye ilişkin herhangi bir rapor bulunmamaktadır; ancak müşterilerin bulut sunucularını korumak için derhal harekete geçmesi gerekir. Talimatlar ve güvenlik açığı ayrıntıları için lütfen aşağıdaki Kritik Güvenlik Önerisini okuyun,” diyor Atlassian’ın danışma belgesinde.
Atlassian ayrıca kamuya açık Confluence Veri Merkezi ve Sunucu sürümlerinin kritik risk altında olduğunu ve derhal müdahale edilmesi gerektiğini doğruladı.
Etkilenen Sürümler ve Düzeltme
Ürün | Etkilenen Sürümler | Sabit Versiyonlar |
Confluence Veri Merkezi ve Sunucu | Tüm sürümler etkilendi | 7.19.16 veya üzeri8.3.4 veya üzeri8.4.4 veya üzeri8.5.3 veya üzeri8.6.1 veya üzeri |
Azaltma
Bu sorunu azaltmak için Atlassian, kullanıcılarına “Örneği yedekleyin” ve mümkünse “Bu yama uygulanıncaya kadar örneği internetten kaldırın.”
Bu güvenlik açıklarından yararlanılmasını önlemek için bu ürünlerin kullanıcılarının en son sürümlere yükseltme yapması gerekir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.