Alertas

Vulnerabilidad crítica en Confluence Server y Data Center

Recientemente, Atlassian ha publicado un aviso de seguridad sobre la vulnerabilidad CVE- 2021-26084 en Confluence Server y Data Center [1].
03 Sep 2021
1 Minutos de lectura

ANÁLISIS 

La vulnerabilidad designada como CVE-2021-26084 contiene una vulnerabilidad de inyección OGNL que permitiría a un usuario autenticado, y en algunos casos a un usuario no autenticado, ejecutar código arbitrario en una instancia de Confluence Server o Data Center. Por lo que un usuario no administrador o un usuario no autenticado, podría acceder a los puntos finales vulnerables si la opción "Permitir que las personas se registren para crear su cuenta" está habilitada. 
Dicha vulnerabilidad crítica cuenta con una puntuación CVSS3 de 9.8 [2].

Las versiones afectadas son las siguientes [3]: 

  • Versión < 6.13.23
  • 6.14.0 ≤ versión < 7.4.11
  • 7.5.0 ≤ versión < 7.11.5
  • 7.12.0 ≤ versión < 7.12.5 

RECOMENDACIONES

Para remediar esta vulnerabilidad, se recomienda aplicar las actualizaciones indicadas por el fabricante [4]. 

 
REFERENCIAS 

[1] https://www.jpcert.or.jp/english/at/2021/at210037.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-26084
[3] https://censys.io/blog/cve-2021-26084-confluenza/
[4] https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

166 visitas