CVE-2021-26084Критический KEVПодтвержденаЭксплойт есть
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
В уязвимых версиях Confluence Server и Data Center существует уязвимость внедрения OGNL, которая позволила бы не прошедшему проверку подлин…
CVSS
9.8
Критический
EPSS
0.94
p99
Опубликовано
2021-01-01
Обновлено
2021-11-03
Описание
В уязвимых версиях Confluence Server и Data Center существует уязвимость внедрения OGNL, которая позволила бы не прошедшему проверку подлинности злоумышленнику выполнить произвольный код на экземпляре Confluence Server или Data Center. Уязвимые версии - до версии 6.13.23, от версии 6.14.0 до 7.4.11, от версии 7.5.0 до 7.11.6 и от версии 7.12.0 до 7.12.5.
Теги · CWE
KEVБез аутентификации
CWE-917
CWE-917БазаНеполный
Некорректная нейтрализация специальных элементов в операторе языка выражений ('Внедрение в язык выражений')
Продукт формирует полностью или частично оператор языка выражений (EL) во фреймворке, например Java Server Page (JSP), используя входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, способные изменить логику оператора EL до его выполнения.
https://cwe.mitre.org/data/definitions/917.html →Открыть в коллекции CWE →Затронутые продукты
Confluence_data_center < 6.13.23Confluence_data_center 6.14.0–7.4.11Confluence_data_center 7.5.0–7.11.6Confluence_data_center 7.12.0–7.12.5Confluence_server < 6.13.23Confluence_server 6.14.0–7.4.11Confluence_server 7.5.0–7.11.6Confluence_server 7.12.0–7.12.5
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2021-01-01
Опубликована
2021-11-03
Добавлена в KEV
2021-11-03
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.944 · p99
Известна эксплуатация (KEV)
Да
Проверки Сканер-ВС
50243
exploitdb · https://www.exploit-db.com/exploits/50243
CVE-2021-26084
github-poc · https://github.com/nahcusira/CVE-2021-26084
Уязвимое ПО
| Продукт | Вендор | Статус |
|---|---|---|
| confluence_data_center | * | Эксплуатируется |
| confluence_server | * | Эксплуатируется |
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Связанные уязвимости