Atlassian a corrigé une vulnérabilité critique (CVE-2023-22527) dans Confluence Data Center et Confluence Server qui pourrait conduire à l’exécution de code à distance.
La bonne nouvelle est que la faille a été corrigée début décembre 2023 avec la sortie des versions 8.5.4 LTS (Data Center et Server) et 8.6.0 et 8.7.1 (Data Center uniquement), certains clients ont donc déjà mis à niveau vers celles-ci. ou vers des versions ultérieures. La mauvaise nouvelle est que certains clients ne l’ont pas fait.
Atlassian n’a pas précisé si la vulnérabilité était activement exploitée, mais a déclaré que les clients «doit prendre des mesures immédiates pour protéger leurs instances Confluence.
À propos de CVE-2023-22527
CVE-2023-22527 est une vulnérabilité d’injection de modèle qui permet à un attaquant non authentifié d’atteindre RCE sur une version affectée de Confluence Data Center et Confluence Server : 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, et 8.5.0-8.5.3. Il n’existe aucune solution de contournement disponible.
« Les versions prises en charge les plus récentes de Confluence Data Center et Server ne sont pas affectées par cette vulnérabilité car elle a finalement été atténuée lors de mises à jour régulières », a noté la société aujourd’hui (c’est-à-dire plus d’un mois après la publication de ces mises à jour).
Les instances Atlassian Cloud ne sont pas affectées par cette vulnérabilité, et la version 7.19.x de Confluence non plus.
Conseils supplémentaires pour les clients
Les instances vulnérables de Confluence sont devenues des cibles privilégiées de divers acteurs malveillants au fil des années.
« Si l’instance Confluence n’est pas accessible depuis Internet, le risque d’exploitation est réduit, mais pas complètement atténué », a ajouté la société, et encore une fois « fortement recommandée » la mise à niveau vers la dernière version disponible.
Si la mise à jour est impossible à ce stade, les clients doivent immédiatement retirer leur système d’Internet, sauvegarder les données de l’instance dans un emplacement sécurisé en dehors de l’instance Confluence et engager leur équipe de sécurité locale pour rechercher toute activité malveillante potentielle.
Malheureusement, Atlassian n’a pas partagé d’indicateurs possibles de compromission, car « la possibilité de points d’entrée multiples, ainsi que d’attaques en chaîne, rend difficile la liste ». [them all].»
