Alvorlig sårbarhet i Confluence fra Atlassian
Sårbarheten gjelder alle versjoner fra Confluence 6.1 til Confluence 6.15, og er lukket i følgende versjoner:
- 6.6.16
- 6.13.7
- 6.15.8
NB: Versjon 6.13.8/6.15.9 er allerede er sluppet - disse løser problemer som er identifisert på Windows-plattform med versjon 6.13.7/6.15.8
For å utnytte sårbarheten kreves det at en angriper har rettigheter til å opprette nye sider på Confluence-instansen - underforstått normalt innloggede brukere.
Utnyttelse av sårbarheten vil gi mulighet til å lese ut hvilken som helst fil under confluence/WEB-INF mappen, hvor informasjon som brukernavn og passord for LDAP-integrering og tilsvarende kan være lagret. Se Atlassians varsel for tekniske detaljer rundt sårbarheten.
Vi anbefaler oppdatering av sårbare instanser snarest.
Dette varselet er originalt utformet av HelseCERT