Confluence Veri Merkezi ve Sunucusunda Kritik RCE Açığı Oluşturuldu

Confluence Veri Merkezi ve Sunucusunda Kritik RCE Açığı Oluşturuldu

Confluence Veri Merkezi ve Confluence Server'da CVE-2023-22527 olarak bilinen kritik bir güvenlik açığı tespit edilmiştir.

Bu güvenlik açığı, kimliği doğrulanmamış saldırganların savunmasız sistemlerde rastgele kod çalıştırmasına izin verme potansiyeli nedeniyle en yüksek önem seviyesinde (CVSS 10) derecelendirilmiştir.

Güvenlik açığı, Confluence Data Center ve Confluence Server'ın eski sürümlerindeki, özellikle 5 Aralık 2023'ten önce yayınlanan 8.0.x ila 8.5.3 sürümlerindeki ve 8.4.5 sürümündeki bir şablon ekleme hatasından kaynaklanmaktadır.

Etkilenen Sistemler

Etkilenen Sürümler
Bu riski azaltmak için, etkilenen sürümlerin kullanıcıları derhal Confluence Veri Merkezi veya Confluence Server'ın mevcut en son sürümüne yükseltme yapmalıdır. Yama veya geçici çözümler bu güvenlik açığı için etkili çözümler olarak kabul edilmez.

IoC’ler

-

Çözüm Önerileri

-

Tedbirler

Hafifletmeler
Bilinen bir geçici çözüm bulunmamaktadır. Bu güvenlik açığını gidermek için, etkilenen her ürün kurulumunu en son sürüme güncelleyin.

CVE / CWE

CVE-2023-22527

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2023-22527
• https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.