Control de acceso roto en el Confluence Data Center y Server de Atlassian
Fecha de publicación 06/10/2023
Identificador
INCIBE-2023-0426
Importancia
5 - Crítica
Recursos Afectados
Confluence Data Center y Confluence Server versiones: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.1.0, 8.1.1, 8.1.3, 8.1.4, 8.2.0, 8.2.1, 8.2.2, 8.2.3, 8.3.0, 8.3.1, 8.3.2, 8.4.0, 8.4.1, 8.4.2, 8.5.0 y 8.5.1.
Descripción
La vulnerabilidad de severidad crítica notificada es debida a un acceso público para crear cuentas de administrador de Confluence, no autorizadas, y acceder a sus instancias.
Solución
Actualizar a las versiones:
- 8.3.3 o posterior.
- 8.4.3 o posterior.
- 8.5.2 (versión de soporte a largo plazo) o posterior.
Detalle
La vulnerabilidad detectada podría permitir a atacantes externos acceder y crear cuentas de administrador, no autorizadas, y generar instancias en los recursos afectados provocando una escalada de privilegios.
Se ha asignado el identificador CVE-2023-22515 para esta vulnerabilidad.
Listado de referencias
Etiquetas