Af Eskil Sørensen, 03/11/23
Atlassian har advaret om, at en offentlig exploit nu er tilgængelig for en kritisk sårbarhed i Confluence, der kan bruges i angreb mod internet-eksponerede og ikke-patchede enheder. Det skriver Bleeping Computer.
Sårbarheden har id’et CVE-2023-22518 og en CVSS-score (v3.0) på 9,1. Den påvirker alle versioner af Confluence Data Center og Confluence Server-software.
Atlassian skriver i en opdatering i sin oprindelige advisory, der blev udsendt den 31. oktober, at der er offentliggjort information om sårbarheden, som øger risikoen for udnyttelse. Der er ikke rapporter om en aktiv udnyttelse, men kunder opfordres til ’øjeblikkeligt’ at iværtsætte foranstaltninger, der kan beskytte enhederne. Brug af patchet skulle være tilstrækkelig.
Atlassian Cloud-websteder, der er tilgået via et atlassian.net-domæne, er ifølge Atlassian ikke påvirket.
Atlassian har rettet CVE-2023-22518 i Confluence Data Center og Server version 7.19.16, 8.3.4, 8.4.4, 8.5.3 og 8.6.1.