Atlassian แก้ไขช่องโหว่ RCE ที่สำคัญใน Confluence เวอร์ชันเก่า

26/67 (IT) ประจำวันพฤหัสบดีที่ 18 มกราคม 2567

Atlassian เตือนถึงช่องโหว่ระดับ Critical ที่ CVE-2023-22527 (คะแนน CVSS 10.0) ใน Confluence Data Center และ Confluence Server ที่ส่งผลกระทบต่อเวอร์ชันเก่า โดยเป็นช่องโหว่ template injection ที่สามารถทำให้ผู้โจมตี execute arbitrary code ในการติดตั้ง Confluence ที่มีช่องโหว่    

ช่องโหว่ส่งผลกระทบต่อ Confluence Data Center และ Server เวอร์ชัน 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x และ เวอร์ชัน 8.5.0 ถึง 8.5.3 โดยที่ Confluence Data Center และ Server เวอร์ชันล่าสุดที่รองรับจะไม่ได้รับผลกระทบจากปัญหานี้ โดยบริษัท Atlassian ได้แก้ไขช่องโหว่ด้วยการออกเวอร์ชัน 8.5.4 (LTS), 8.6.0 (Data Center only) และ 8.7.1 (Data Center only) และแนะนำให้ผู้ใช้งานติดตั้งเป็นเวอร์ชันล่าสุด

แหล่งข่าว https://securityaffairs.com/157591/security/atlassian-rce-flaw-older-confluence-versions.html