V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
AtlassianПриложениеbdu,anchore_overrides,nvd

Confluence Server

Уязвимости
75
Эксплуатируемые
9
Макс. CVSS
10
Макс. EPSS
0.99999

Распределение по критичности

Критический
18
Высокий
36
Средний
21
Низкий
0

Затронутые диапазоны версий

1.0–7.19.161.3–7.4.172.0–6.6.134.0–4.0.74.0–7.19.175.6–7.19.146.1.0–7.13.206.13.0–6.13.36.13.0–7.19.206.14.0–6.14.36.14.0–6.15.106.14.0–6.15.87.19.0–7.19.247.19–7.19.177.5.0–7.5.18.0.0–8.3.28.0.0–8.3.38.0.0–8.5.49.0–9.0.1< 5.8.6< 6.13.1< 6.13.18< 6.13.23< 6.15.2
Также сопоставлено как (исходные строки): jira_service_desk,confluence server,confluence_server,fisheye,jira_server,crowd,bitbucket,jira_service_management,bamboo,jira_data_center,confluence_data_center,crucible

Топ уязвимостей

BDU:2024-00325Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированного шаблона
BDU:2023-06364Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
CVE-2023-22527Уязвимость инъекции шаблона в старых версиях Confluence Data Center и Server позволяет неаутентифицированному злоумышленнику добиться RCE на затронутом экземпляре. Клиенты, использующие затронутую версию, должны немедленно принять меры. Последние поддерживаемые версии Confluence Data Center и Server не подвержены этой уязвимости, поскольку она была устранена во время регулярных обновлений версии. Тем не менее, Atlassian рекомендует клиентам заботиться об установке последней версии, чтобы защитить свои экземпляры от некритических уязвимостей, описанных в январском бюллетене безопасности Atlassian.
CVE-2023-22518Все версии Confluence Data Center и Server затронуты этой неэксплуатируемой уязвимостью. Эта уязвимость Неправильной Авторизации позволяет неаутентифицированному злоумышленнику сбрасывать Confluence и создавать учетную запись администратора экземпляра Confluence. С помощью этой учетной записи злоумышленник затем может выполнять все административные действия, которые доступны администратору экземпляра Confluence, что приводит к полной потере конфиденциальности, целостности и доступности. Сайты Atlassian Cloud не затронуты этой уязвимостью. Если ваш сайт Confluence доступен через домен atlassian.net, он размещен Atlassian и не уязвим для этой проблемы.
CVE-2023-22515Atlassian стало известно о проблеме, о которой сообщили несколько клиентов, когда внешние злоумышленники могли использовать ранее неизвестную уязвимость в общедоступных экземплярах Confluence Data Center и Server для создания несанкционированных учетных записей администратора Confluence и доступа к экземплярам Confluence. Эта уязвимость не затрагивает сайты Atlassian Cloud. Если доступ к вашему сайту Confluence осуществляется через домен atlassian.net, он размещается Atlassian и не подвержен этой проблеме.
CVE-2022-26138Приложение Atlassian Questions For Confluence для Confluence Server и Data Center создает учетную запись пользователя Confluence в группе confluence-users с именем пользователя disabledsystemuser и жестко закодированным паролем. Удаленный, не прошедший проверку подлинности злоумышленник, знающий жестко закодированный пароль, может использовать его для входа в Confluence и доступа ко всему контенту, доступному пользователям в группе confluence-users. Эта учетная запись пользователя создается при установке версий 2.7.34, 2.7.35 и 3.0.2 приложения.
CVE-2022-26136Уязвимость в нескольких продуктах Atlassian позволяет удаленному не прошедшему проверку подлинности злоумышленнику обходить фильтры сервлетов, используемые собственными и сторонними приложениями. Воздействие зависит от того, какие фильтры используются каждым приложением и как эти фильтры используются. Эта уязвимость может привести к обходу аутентификации и межсайтовому скриптингу. Atlassian выпустила обновления, устраняющие основную причину этой уязвимости, но не перечислила исчерпывающим образом все потенциальные последствия этой уязвимости. Версии Atlassian Bamboo затронуты до 8.0.9, с 8.1.0 до 8.1.8 и с 8.2.0 до 8.2.4. Версии Atlassian Bitbucket затронуты до 7.6.16, с 7.7.0 до 7.17.8, с 7.18.0 до 7.19.5, с 7.20.0 до 7.20.2, с 7.21.0 до 7.21.2 и версии 8.0.0 и 8.1.0. Версии Atlassian Confluence затронуты до 7.4.17, с 7.5.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и версия 7.21.0. Версии Atlassian Crowd затронуты до 4.3.8, с 4.4.0 до 4.4.2 и версия 5.0.0. Версии Atlassian Fisheye и Crucible до 4.8.10 затронуты. Версии Atlassian Jira затронуты до 8.13.22, с 8.14.0 до 8.20.10 и с 8.21.0 до 8.22.4. Версии Atlassian Jira Service Management затронуты до 4.13.22, с 4.14.0 до 4.20.10 и с 4.21.0 до 4.22.4.
CVE-2022-26134В затронутых версиях Confluence Server и Data Center существует уязвимость внедрения OGNL, которая позволит не прошедшему проверку подлинности злоумышленнику выполнить произвольный код на экземпляре Confluence Server или Data Center. Уязвимые версии: с 1.3.0 до 7.4.17, с 7.13.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и с 7.18.0 до 7.18.1.
CVE-2021-26084В уязвимых версиях Confluence Server и Data Center существует уязвимость внедрения OGNL, которая позволила бы не прошедшему проверку подлинности злоумышленнику выполнить произвольный код на экземпляре Confluence Server или Data Center. Уязвимые версии - до версии 6.13.23, от версии 6.14.0 до 7.4.11, от версии 7.5.0 до 7.11.6 и от версии 7.12.0 до 7.12.5.
CVE-2019-3396Макрос Widget Connector в Atlassian Confluence Server до версии 6.6.12 (исправленная версия для 6.6.x), с версии 6.7.0 до 6.12.3 (исправленная версия для 6.12.x), с версии 6.13.0 до 6.13.3 (исправленная версия для 6.13.x), и с версии 6.14.0 до 6.14.2 (исправленная версия для 6.14.x) позволяет удаленным атакующим получить доступ к обходу пути и удаленному выполнению кода на экземпляре Confluence Server или Data Center через инъекцию шаблонов на стороне сервера.
CVE-2019-3395Конечная точка WebDAV в Atlassian Confluence Server и Data Center до версии 6.6.7 (исправленная версия для 6.6.x), от версии 6.7.0 до 6.8.5 (исправленная версия для 6.8.x) и от версии 6.9.0 до 6.9.3 (исправленная версия для 6.9.x) позволяет удаленным злоумышленникам отправлять произвольные HTTP- и WebDAV-запросы из экземпляра Confluence Server или Data Center через Server-Side Request Forgery.
BDU:2022-03284Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-05399Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с некорректной обработкой выражений Object Graph Navigation Language (OGNL). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-04333Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостатками процедуры нейтрализации особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного OGNL выражения
BDU:2019-02771Уязвимость компонента Widget Connector веб-сервера Atlassian Confluence Server существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2012-2926Atlassian JIRA до 5.0.1; Confluence до 3.5.16, 4.0 до 4.0.7 и 4.1 до 4.1.10; FishEye и Crucible до 2.5.8, 2.6 до 2.6.8 и 2.7 до 2.7.12; Bamboo до 3.3.4 и 3.4.x до 3.4.5; и Crowd до 2.0.9, 2.1 до 2.1.2, 2.2 до 2.2.9, 2.3 до 2.3.7 и 2.4 до 2.4.1 неправильно ограничивают возможности сторонних XML-парсеров, что позволяет удаленным злоумышленникам читать произвольные файлы или вызывать отказ в обслуживании (потребление ресурсов) через неуказанные векторы.
BDU:2023-07453Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
BDU:2023-08564Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить атаку типа «Server-Side Template Injection»
CVE-2024-21683Эта уязвимость RCE (удаленное выполнение кода) высокой степени серьезности была введена в версии 5.2 Confluence Data Center и Server. Эта уязвимость RCE (удаленное выполнение кода) с оценкой CVSS 7.2 позволяет аутентифицированному злоумышленнику выполнять произвольный код, что имеет высокий импакт на конфиденциальность, высокий импакт на целостность, высокий импакт на доступность и не требует взаимодействия пользователя. Atlassian рекомендует клиентам Confluence Data Center и Server обновиться до последней версии. Если вы не можете этого сделать, обновите вашу инстанцию до одной из указанных поддерживаемых исправленных версий. См. примечания к выпуску https://confluence.atlassian.com/doc/confluence-release-notes-327.html Вы можете скачать последнюю версию Confluence Data Center и Server из центра загрузок https://www.atlassian.com/software/confluence/download-archives. Эта уязвимость была обнаружена внутри.
CVE-2024-21677Эта уязвимость Path Traversal с высокой степенью серьезности была представлена в версии 6.13.0 Confluence Data Center. Эта уязвимость Path Traversal с оценкой CVSS 8.3 позволяет неаутентифицированному злоумышленнику использовать неопределяемую уязвимость, которая оказывает высокое воздействие на конфиденциальность, высокое воздействие на целостность, высокое воздействие на доступность и требует взаимодействия с пользователем. Atlassian рекомендует клиентам Confluence Data Center и Server обновиться до последней версии. Если вы не можете этого сделать, обновите свой экземпляр до одной из указанных поддерживаемых исправленных версий: Data Center Atlassian рекомендует клиентам Confluence Data Center обновиться до последней версии, а клиентам Confluence Server — обновиться до последней версии 8.5.x LTS. Если вы не можете этого сделать, обновите свой экземпляр до одной из указанных поддерживаемых исправленных версий См. примечания к выпуску https://confluence.atlassian.com/doc/confluence-release-notes-327.html Вы можете скачать последнюю версию Confluence Data Center и Server из центра загрузок https://www.atlassian.com/software/confluence/download-archives. Об этой уязвимости сообщили через нашу программу Bug Bounty.
CVE-2024-21673Эта уязвимость удаленного выполнения кода (RCE) с высокой степенью серьезности была представлена в версиях 7.13.0 Confluence Data Center и Server. Уязвимость удаленного выполнения кода (RCE) с оценкой CVSS 8.0 и вектором CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H позволяет аутентифицированному злоумышленнику раскрыть ресурсы в вашей среде, подверженные эксплуатации, что оказывает высокое воздействие на конфиденциальность, высокое воздействие на целостность, высокое воздействие на доступность и не требует взаимодействия с пользователем. Atlassian рекомендует клиентам Confluence Data Center и Server обновиться до последней версии. Если вы не можете этого сделать, обновите свой экземпляр до одной из указанных поддерживаемых исправленных версий: * Confluence Data Center и Server 7.19: обновитесь до версии 7.19.18 или любой более поздней версии 7.19.x * Confluence Data Center и Server 8.5: обновитесь до версии 8.5.5 или любой более поздней версии 8.5.x * Confluence Data Center и Server 8.7: обновитесь до версии 8.7.2 или любой более поздней версии См. примечания к выпуску (https://confluence.atlassian.com/doc/confluence-release-notes-327.html ). Вы можете скачать последнюю версию Confluence Data Center и Server из центра загрузок (https://www.atlassian.com/software/confluence/download-archives ).
CVE-2024-21672Эта уязвимость удаленного выполнения кода (RCE) с высокой степенью серьезности была представлена в версии 2.1.0 Confluence Data Center и Server. Уязвимость удаленного выполнения кода (RCE) с оценкой CVSS 8.3 и вектором CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H позволяет неаутентифицированному злоумышленнику удаленно раскрыть ресурсы в вашей среде, подверженные эксплуатации, что оказывает высокое воздействие на конфиденциальность, высокое воздействие на целостность, высокое воздействие на доступность и требует взаимодействия с пользователем. Atlassian рекомендует клиентам Confluence Data Center и Server обновиться до последней версии. Если вы не можете этого сделать, обновите свой экземпляр до одной из указанных поддерживаемых исправленных версий: * Confluence Data Center и Server 7.19: обновитесь до версии 7.19.18 или любой более поздней версии 7.19.x * Confluence Data Center и Server 8.5: обновитесь до версии 8.5.5 или любой более поздней версии 8.5.x * Confluence Data Center и Server 8.7: обновитесь до версии 8.7.2 или любой более поздней версии См. примечания к выпуску (https://confluence.atlassian.com/doc/confluence-release-notes-327.html ). Вы можете скачать последнюю версию Confluence Data Center и Server из центра загрузок (https://www.atlassian.com/software/confluence/download-archives).
CVE-2023-22526Эта уязвимость типа RCE (удаленное выполнение кода) высокой степени серьезности появилась в версии 7.19.0 Confluence Data Center. Эта уязвимость типа RCE (удаленное выполнение кода) с оценкой CVSS 7.2 позволяет аутентифицированному злоумышленнику выполнять произвольный код, что оказывает высокое воздействие на конфиденциальность, высокое воздействие на целостность, высокое воздействие на доступность и не требует взаимодействия с пользователем. Atlassian рекомендует клиентам Confluence Data Center обновить версию до последней, если вы не можете этого сделать, обновите свой экземпляр до одной из указанных поддерживаемых исправленных версий: Confluence Data Center и Server 7.19: Обновите до версии 7.19.17 или любой более высокой версии 7.19.x Confluence Data Center и Server 8.5: Обновите до версии 8.5.5 или любой более высокой версии 8.5.x Confluence Data Center и Server 8.7: Обновите до версии 8.7.2 или любой более высокой версии См. примечания к выпуску ([https://confluence.atlassian.com/doc/confluence-release-notes-327.html]). Вы можете загрузить последнюю версию Confluence Data Center из центра загрузки ([https://www.atlassian.com/software/confluence/download-archives]). Об этой уязвимости сообщил m1sn0w через нашу программу Bug Bounty.
CVE-2023-22522Эта уязвимость Template Injection позволяет аутентифицированному злоумышленнику, в том числе с анонимным доступом, внедрять небезопасный пользовательский ввод на страницу Confluence. Используя этот подход, злоумышленник может добиться удаленного выполнения кода (RCE) в затронутом экземпляре. Общедоступные версии Confluence Data Center и Server, перечисленные ниже, подвержены риску и требуют немедленного внимания. См. консультативное заключение для получения дополнительных сведений. Эта уязвимость не затрагивает сайты Atlassian Cloud. Если доступ к вашему сайту Confluence осуществляется через домен atlassian.net, он размещается Atlassian и не подвержен этой проблеме.
CVE-2023-22508Эта уязвимость типа RCE (удаленное выполнение кода) высокой степени серьезности, известная как CVE-2023-22508, появилась в версии 6.1.0 Confluence Data Center и Server. Эта уязвимость типа RCE (удаленное выполнение кода) с оценкой CVSS 8.5 позволяет аутентифицированному злоумышленнику выполнять произвольный код, что оказывает высокое воздействие на конфиденциальность, высокое воздействие на целостность, высокое воздействие на доступность и не требует взаимодействия с пользователем. Atlassian рекомендует обновить ваш экземпляр, чтобы избежать этой ошибки, используя следующие варианты: * Обновите до версии Confluence, большей или равной 8.2.0 (например: 8.2, 8.2, 8.4 и т. д.) * Обновите до версии Confluence 7.19 LTS, большей или равной 7.19.8 (например: 7.19.8, 7.19.9, 7.19.10, 7.19.11 и т. д.) * Обновите до версии Confluence 7.13 LTS, большей или равной 7.13.20 (выпуск доступен в начале августа). См. примечания к выпуску (https://confluence.atlassian.com/doc/confluence-release-notes-327.html). Вы можете загрузить последнюю версию Data Center и Server из центра загрузки (https://www.atlassian.com/software/confluence/download-archives). Если вы не можете обновить свой экземпляр, используйте следующее руководство, чтобы обойти проблему: https://confluence.atlassian.com/confkb/how-to-disable-the-jmx-network-port-for-cve-2023-22508-1267761550.html Об этой уязвимости сообщил частный пользователь через нашу программу Bug Bounty.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →