A fabricante de software empresarial Atlassian pediu na segunda-feira a todos os clientes do Confluence Data Center e Server que corrigissem suas instâncias contra uma vulnerabilidade de gravidade crítica que pode ser explorada sem autenticação.
O defeito de segurança, rastreado como CVE-2023-22518 (pontuação CVSS de 9,1), é descrito como um bug de autorização impróprio que afeta todas as versões do Confluence.
Embora não tenha compartilhado detalhes técnicos sobre a falha no sua assessoriaa Atlassian chamou a atenção para o alto impacto que uma exploração bem-sucedida teria.
“Como parte de nossos processos contínuos de avaliação de segurança, descobrimos que os clientes do Confluence Data Center e Server são vulneráveis a perdas significativas de dados se explorados por um invasor não autenticado”, observa Bala Sathiamurthy, CISO da Atlassian.
“Não há relatos de exploração ativa neste momento; no entanto, os clientes devem tomar medidas imediatas para proteger as suas instâncias”, continua Sathiamurthy.
Segundo a Atlassian, a vulnerabilidade não tem impacto na confidencialidade, pois não pode ocorrer exfiltração de dados ao explorá-la.
O problema foi resolvido com o lançamento do Confluence Data Center e Server versões 7.19.16, 8.3.4, 8.4.4, 8.5.3 e 8.6.1.
Os clientes que não conseguem aplicar os patches são aconselhados a fazer backup de suas instâncias e bloquear o acesso à Internet até que possam ser corrigidos.
“Instâncias acessíveis à Internet pública, incluindo aquelas com autenticação de usuário, devem ter acesso restrito à rede externa até que você possa corrigir”, observa Atlassian.
A empresa também observa que, de acordo com sua política em relação a vulnerabilidades críticas, os patches serão retroportados e que novas versões de manutenção para todas as versões cobertas pela política estarão disponíveis.
“Os sites da Atlassian Cloud não são afetados por esta vulnerabilidade. Se o seu site Confluence for acessado por meio de um domínio atlassian.net, ele será hospedado pela Atlassian e não estará vulnerável a esse problema”, observa o fabricante do software.