تؤثر ثغرة أمنية بالغة الخطورة في تنفيذ التعليمات البرمجية عن بُعد (RCE) غير المصادق عليها على Atlassian Confluence Data Center وConfluence Server، في جميع الإصدارات التي تم إصدارها قبل 5 ديسمبر. يجب أن تستعد المؤسسات غير المصححة للدفاع ضد كل شيء بدءًا من حملات برامج الفدية إلى محاولات التجسس عبر الإنترنت.
الحشرة (CVE-2023-22527)، والتي تحمل تصنيف 10 من 10 لخطورة الثغرات على مقياس CVSS v3، هي ثغرة أمنية تمهد الطريق للمهاجمين غير المصادقين لتحقيق RCE على الإصدارات 8.0.x، 8.1.x، 8.2.x، 8.3. x و8.4.x و8.5.0 إلى 8.5.3.
الأخطاء تصيب معظم إصدارات Confluence
أي منظمة تمت الترقية إليها تم إصدار إصدارات Confluence في تحديث الشركة لشهر ديسمبر أصبحت واضحة، على الرغم من أنه تم الكشف عن الخطأ اليوم فقط، إلى جانب العديد من الثغرات الأمنية الأقل خطورة التي تم تصحيحها حديثًا نشرة أمنية جديدة.
لاحظ Atlassian أن مثيلات نهاية العمر (الإصدار 8.4.5 وما قبله) تتأثر أيضًا ولن تتلقى تصحيحات.
لا توجد وسائل تخفيف أو حلول متاحة، لذلك يجب على المسؤولين تطبيق أحدث الإصدارات من الشهر الماضي للتمتع بالحماية الكاملة، حتى لو لم تكن إصدارات Confluence الخاصة بهم معروضة على الإنترنت. لا تتأثر مثيلات السحابة.
بالنسبة لأولئك الذين لا يستطيعون تصحيح مركز بيانات Confluence ومثيلات الخادم على الفور، توصي Atlassian بإزالة أنظمتهم من الإنترنت وعمل نسخة احتياطية من بياناتهم خارج بيئة Confluence.
يمكن أن تكون هجمات Atlassian CVE-2023-22527 واسعة النطاق
واقترحت الشركة أيضًا مراقبة أي نشاط ضار محتمل (بشكل طبيعي) لكنها أشارت في تقريرها الاستشارات الأمنية بشأن CVE-2024-22527 أن "احتمال وجود نقاط دخول متعددة، إلى جانب الهجمات المتسلسلة، يجعل من الصعب سرد جميع المؤشرات المحتملة للتسوية".
يجب على المسؤولين ملاحظة ما يلي: أخطاء التقاء Atlassian موجودة تحظى بشعبية عامة في دائرة الجرائم الإلكترونيةنظرًا لأن النظام الأساسي يصل إلى عمق بيئات الشبكة، ويستخدم للتعاون بين المؤسسات وسير العمل وتطوير البرامج. آخر 10 من أصل 10 أخطاء خطيرة في نوفمبر كانت مليئة بمحاولات الاستغلال في غضون أيام من الكشف عنها، ومن المحتمل أن ينطبق الأمر نفسه على هذه المحاولات إذا كان الماضي بمثابة مقدمة؛ مع أطلسي، عادة ما يكون كذلك.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce
- :لديها
- :يكون
- :ليس
- $ UP
- 1
- 10
- 8
- a
- التأهيل
- نشاط
- استشاري
- تتأثر
- ضد
- الكل
- يسمح
- على طول
- أيضا
- و
- آخر
- أي وقت
- التقديم
- هي
- الهجمات
- محاولات
- متاح
- الى الخلف
- BE
- قبل
- علة
- البق
- لكن
- الحملات
- CAN
- مركز
- بالسلاسل
- واضح
- سحابة
- الكود
- للاتعاون
- حول الشركة
- حل وسط
- احتشاد
- استطاع
- حرج
- جرائم الإنترنت
- البيانات
- مركز البيانات
- أيام
- ديسمبر
- ديسمبر
- عميق
- التطوير التجاري
- صعبة
- إفشاء
- دخول
- البيئة
- البيئات
- حتى
- كل شىء
- استغلال
- مكشوف
- في حالة
- جديد
- تبدأ من
- تماما
- معطى
- عقد
- HTML
- HTTPS
- if
- فورا
- تؤثر
- in
- من مؤشرات
- Internet
- إلى
- IT
- انها
- JPG
- م
- اسم العائلة
- آخر
- على الأرجح
- قائمة
- يصنع
- خبيث
- مراقبة
- شهر
- أكثر
- متعدد
- شبكة
- حديثا
- لا
- لاحظ
- وأشار
- of
- on
- ONE
- or
- منظمة
- المنظمات
- خارج
- في الخارج
- الماضي
- بقعة
- بقع
- حطام
- الأوبئة
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نقاط
- الرائج
- إمكانية
- ممكن
- محتمل
- إعداد
- فاتحة
- محمي
- الفدية
- تصنيف
- يصل
- تسلم
- توصي
- صدر
- عن بعد
- إزالة
- s
- نفسه
- حجم
- أمن
- الخادم
- عدة
- ينبغي
- So
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- أنظمة
- أخذ
- قالب
- أن
- •
- من مشاركة
- هم
- هؤلاء
- على الرغم من؟
- عبر
- إلى
- اليوم
- صحيح
- لم تتأثر
- ترقية
- مستعمل
- عادة
- الإصدار
- الإصدارات
- نقاط الضعف
- الضعف
- وكان
- طريق..
- التي
- من الذى
- سوف
- مع
- في غضون
- سير العمل
- X
- زفيرنت