Atlassian, Confluence Veri Merkezi ve Sunucusunda “kimliği doğrulanmamış bir saldırgan tarafından kullanılması halinde önemli veri kaybına” yol açabilecek kritik bir güvenlik açığı konusunda uyardı.
Şu şekilde izlendi: CVE-2023-22518güvenlik açığı CVSS puanlama sisteminde maksimum 10 üzerinden 9,1 olarak derecelendirilmiştir. Bu, “uygunsuz yetkilendirme güvenlik açığı” örneği olarak tanımlandı.
Confluence Data Center ve Server’ın tüm sürümleri bu hataya karşı hassastır ve bu sorun aşağıdaki sürümlerde giderilmiştir:
- 7.19.16 veya üzeri
- 8.3.4 veya üzeri
- 8.4.4 veya üstü
- 8.5.3 veya üzeri ve
- 8.6.1 veya üzeri
Bununla birlikte Avustralyalı şirket, “bir saldırganın herhangi bir örnek veriyi sızdıramayacağı için gizliliğin herhangi bir etkisi olmadığını” vurguladı.
Bu kusur ve bir saldırganın bundan yararlanabileceği kesin yöntem hakkında başka hiçbir ayrıntı açıklanmadı; bunun nedeni, muhtemelen bunu yapmanın, tehdit aktörlerinin bir istismar tasarlamasına olanak sağlaması olabilir.
Atlassian ayrıca müşterilerini bulut sunucularının güvenliğini sağlamak için derhal harekete geçmeye çağırıyor ve halka açık internete erişilebilenlerin bir yama uygulanana kadar bağlantısının kesilmesini öneriyor.
Dahası, destek penceresinin dışındaki sürümleri çalıştıran kullanıcıların sabit bir sürüme yükseltmeleri önerilir. Atlassian Cloud siteleri bu sorundan etkilenmemektedir.
Ortalıkta aktif bir şekilde istismar edildiğine dair bir kanıt olmasa da, yakın zamanda duyurulan CVE-2023-22515 de dahil olmak üzere yazılımda daha önce keşfedilen eksiklikler, tehdit aktörleri tarafından silah haline getirildi.