Vulnerabilidad crítica en Confluence Server y Data Center
ANÁLISIS
La vulnerabilidad designada como CVE-2021-26084 contiene una vulnerabilidad de inyección OGNL que permitiría a un usuario autenticado, y en algunos casos a un usuario no autenticado, ejecutar código arbitrario en una instancia de Confluence Server o Data Center. Por lo que un usuario no administrador o un usuario no autenticado, podría acceder a los puntos finales vulnerables si la opción "Permitir que las personas se registren para crear su cuenta" está habilitada.
Dicha vulnerabilidad crítica cuenta con una puntuación CVSS3 de 9.8 [2].
Las versiones afectadas son las siguientes [3]:
- Versión < 6.13.23
- 6.14.0 ≤ versión < 7.4.11
- 7.5.0 ≤ versión < 7.11.5
- 7.12.0 ≤ versión < 7.12.5
RECOMENDACIONES
Para remediar esta vulnerabilidad, se recomienda aplicar las actualizaciones indicadas por el fabricante [4].
REFERENCIAS
[1] https://www.jpcert.or.jp/english/at/2021/at210037.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-26084
[3] https://censys.io/blog/cve-2021-26084-confluenza/
[4] https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html