[Warning] Kritische Sicherheitslücke in Atlassian Confluence - Workarounds verfügbar

Thomas Pribitzer pribitzer at cert.at
Fri Jun 3 11:36:39 CEST 2022


03. Juli 2022

Beschreibung

Atlassian Confluence Server und Confluence Data Center weisen eine 
kritische Schwachstelle auf, die das Ausführen von beliebigem Code 
erlaubt. Die Sicherheitslücke wird bereits aktiv ausgenützt.

CVE-Nummer: CVE-2022-26134

CVSS Base Score: Atlassian Security Level: Critical (entspricht CVSS 
Score 9.0-10.0)

Auswirkungen

Die Schwachstelle erlaubt entfernten, unauthentifizierten 
Angreifer:innen das Ausführen von beliebigem Code und in weiterer Folge 
potentiell die vollständige Kompromittierung des betroffenen Systems.

Betroffene Systeme

   * Atlassian Confluence Server
   * Atlassian Confluence Data Center

Betroffen sind alle Versionen von Confluence Server und Confluence Data 
Center. Atlassian Cloud Sites sind nicht betroffen.

Abhilfe

Derzeit existieren noch keine Updates, um die Sicherheitslücke zu 
schließen. Als Workaround empfiehlt Atlassian, den Zugang zu 
Confluence-Instanzen aus dem öffentlichen Internet zu unterbinden oder 
die Instanzen temporär zu deaktivieren, bis ein Patch verfügbar ist.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und 
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige 
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

____________________________________________________________

Informationsquelle(n):

Atlassian Advisory (Englisch)
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Analyse der Schwachstelle von Volexity (Englisch)
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/



-- 
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20220603/d4326d2e/attachment.sig>


More information about the Warning mailing list