06
Set 2021
Alerta de Vulnerabilidades - Atlassian Confluence
TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Confluence Server e Confluence Data Center
ECOSSISTEMA
Outro
Descrição
A Atlassian publicou uma atualização de segurança que corrige uma vulnerabilidade de injeção OGNL associada ao Confluence (CVE-2021-26084). Esta vulnerabilidade afeta diversas versões do Confluence Server e Data Center, porém os utilizadores do Confluence Cloud não são afetados.[1]
Consulte a lista de versões afetadas em [1].
Impacto
Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante autenticado - em algumas situações, não autenticado - a execução de código arbitrário.
Resolução
É recomendado atualizar para as seguintes versões: [2]
- Se possui qualquer uma das versões afetadas, atualize para a versão 7.13.0 (Long Term Support) ou mais recente;
- Se possui versões 6.13.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 6.13.23;
- Se possui versões 7.4.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 7.4.11;
- Se possui versões 7.11.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 7.11.6;
- Se possui versões 7.12.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 7.12.5.
Referências
[1] https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
[2] https://www.atlassian.com/software/confluence/download-archives