CVE-2022-26134Критический KEVПодтвержденаЭксплойт есть
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
В затронутых версиях Confluence Server и Data Center существует уязвимость внедрения OGNL, которая позволит не прошедшему проверку подлинно…
CVSS
9.8
Критический
EPSS
1.00
p100
Опубликовано
2022-01-01
Обновлено
2022-06-02
Описание
В затронутых версиях Confluence Server и Data Center существует уязвимость внедрения OGNL, которая позволит не прошедшему проверку подлинности злоумышленнику выполнить произвольный код на экземпляре Confluence Server или Data Center. Уязвимые версии: с 1.3.0 до 7.4.17, с 7.13.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и с 7.18.0 до 7.18.1.
Теги · CWE
KEVБез аутентификации
CWE-917
CWE-917БазаНеполный
Некорректная нейтрализация специальных элементов в операторе языка выражений ('Внедрение в язык выражений')
Продукт формирует полностью или частично оператор языка выражений (EL) во фреймворке, например Java Server Page (JSP), используя входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, способные изменить логику оператора EL до его выполнения.
https://cwe.mitre.org/data/definitions/917.html →Открыть в коллекции CWE →Затронутые продукты
Confluence_data_center 1.3–7.4.17Confluence_data_center 7.13.0–7.13.7Confluence_data_center 7.14.0–7.14.3Confluence_data_center 7.15.0–7.15.2Confluence_data_center 7.16.0–7.16.4Confluence_data_center 7.17.0–7.17.4Confluence_data_centerConfluence_server 1.3–7.4.17Confluence_server 7.13.0–7.13.7Confluence_server 7.14.0–7.14.3Confluence_server 7.15.0–7.15.2Confluence_server 7.16.0–7.16.4Confluence_server 7.17.0–7.17.4Confluence_server
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2022-01-01
Опубликована
2022-06-02
Добавлена в KEV
2022-06-02
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
1.000 · p100
Известна эксплуатация (KEV)
Да
Проверки Сканер-ВС
CVE-2022-26134
cisa · https://www.cisa.gov/known-exploited-vulnerabilities-catalog
50952
exploitdb · https://www.exploit-db.com/exploits/50952
Уязвимое ПО
| Продукт | Вендор | Статус |
|---|---|---|
| confluence_data_center | * | Эксплуатируется |
| confluence_server | * | Эксплуатируется |
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Связанные уязвимости