Atlassian vá lỗ hổng thực thi mã nghiêm trọng trên Confluence

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Atlassian vá lỗ hổng thực thi mã nghiêm trọng trên Confluence
Atlassian vừa phát đi cảnh báo liên quan đến lỗ hổng bảo mật trong sản phẩm Confluence dành cho khách hàng doanh nghiệp.

Lỗ hổng OGNL Injection cho phép kẻ tấn công đã xác thực, cũng như kẻ tấn công chưa xác thực trong một số điều kiện nhất định thực thi mã tùy ý trên các sản phẩm Confluence Server và Jira Confluence Data Center.

Atlassian-Jira.png


Lỗ hổng có mã định danh CVE-2021-26084 và điểm CVSS là 9.8, Atlassian đã vá lỗi này thông qua việc phát hành phiên bản 6.13.23, 7.4.11, 7.11.6, 7.12.5 và 7.13.0.

Lỗ hổng được báo cáo tới Atlassian thông qua chương trình tìm kiếm lỗ hổng bảo mật của hãng bởi nhà nghiên cứu Benny Jacob của SnowyOwl. Do mức độ nghiêm trọng, Atlassian đã xếp hạng lỗi là P1 để ưu tiên khắc phục.

Chương trình tìm kiếm lỗ hổng của Atlassian hợp tác với nền tảng Bugcrowd, với lỗ hổng có mức độ P1, nhà nghiên cứu có thể nhận tới 6.000 đô la tiền thưởng. Khoản thanh toán cao nhất mà Atlassian cung cấp thông qua chương trình tiền thưởng lỗi là 10.000 đô la.

Do được dùng nhiều ở các doanh nghiệp, nên các sản phẩm của Atlassian thường là mục tiêu của hacker, hãng khuyến cáo các khách hàng của mình cập nhật bản vá càng sớm càng tốt.
Theo: securityweek
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2021-26084
Bên trên