یک آسیبپذیری حداکثر بحرانی اجرای کد از راه دور تأیید نشده (RCE) روی Atlassian Confluence Data Center و Confluence Server، در همه نسخههای منتشر شده قبل از 5 دسامبر، تأثیر میگذارد. سازمانهای اصلاحنشده باید برای دفاع در برابر همه چیز از کمپینهای باجافزار گرفته تا تلاشهای جاسوسی سایبری آماده شوند.
حشره (CVE-2023-22527) که دارای رتبه 10 از 10 آسیبپذیری-شدت در مقیاس CVSS v3 است، آسیبپذیری تزریق الگو است که راه را برای مهاجمان تأیید نشده برای دستیابی به RCE در نسخههای 8.0.x، 8.1.x، 8.2.x، 8.3 هموار میکند. x، 8.4.x، و 8.5.0 تا 8.5.3.
اشکال اکثر نسخه های Confluence را آزار می دهد
هر سازمانی که ارتقا یافته است نسخه های Confluence منتشر شده در به روز رسانی دسامبر این شرکت واضح است، اگرچه این باگ همین امروز فاش شد، همراه با چندین آسیبپذیری کمتر شدید که به تازگی اصلاح شدهاند. یک بولتن امنیتی جدید.
اطلسیان خاطرنشان کرد که نمونه های پایان عمر (نسخه 8.4.5 و قبل از آن) نیز تحت تأثیر قرار می گیرند و وصله دریافت نمی کنند.
هیچ راهحل یا راهحلی در دسترس نیست، بنابراین مدیران باید آخرین نسخههای ماه گذشته را اعمال کنند تا کاملاً محافظت شوند، حتی اگر نسخههای Confluence آنها در معرض اینترنت نباشد. نمونههای ابری تحت تأثیر قرار نمیگیرند.
برای کسانی که نمیتوانند فوراً نمونههای Confluence Data Center و Server خود را وصله کنند، Atlassian توصیه میکند که سیستمهای خود را از اینترنت حذف کرده و از دادههای خود در خارج از محیط Confluence نسخه پشتیبان تهیه کنند.
حملات Atlassian CVE-2023-22527 می تواند دامنه وسیعی داشته باشد
این شرکت همچنین نظارت بر هرگونه فعالیت مخرب بالقوه (به طور طبیعی) را پیشنهاد کرد، اما در آن ذکر شده است مشاوره امنیتی در CVE-2024-22527 "امکان ورود چندین نقطه، همراه با حملات زنجیره ای، فهرست کردن همه شاخص های احتمالی سازش را دشوار می کند."
مدیران باید توجه داشته باشند: اشکالات Atlassian Confluence هستند به طور کلی در مدار جرایم سایبری محبوب استبا توجه به اینکه پلتفرم به اعماق محیط های شبکه می رسد و برای همکاری بین سازمانی، گردش کار و توسعه نرم افزار استفاده می شود. یکی دیگر 10 از 10 اشکال مهم در نوامبر طی چند روز پس از افشای آن، با تلاشهای استثماری مواجه شد، و اگر گذشته پیشگفتار باشد، احتمالاً همین موضوع برای این مورد نیز صادق خواهد بود. با معمولاً اطلسی است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce
- : دارد
- :است
- :نه
- $UP
- 1
- 10
- 8
- a
- رسیدن
- فعالیت
- مشاوره
- تحت تاثیر قرار
- در برابر
- معرفی
- اجازه می دهد تا
- در امتداد
- همچنین
- و
- دیگر
- هر
- درخواست
- هستند
- حمله
- تلاشها
- در دسترس
- به عقب
- BE
- قبل از
- اشکال
- اشکالات
- اما
- مبارزات
- CAN
- مرکز
- زنجیر شده
- واضح
- ابر
- رمز
- همکاری
- شرکت
- سازش
- تلاقی
- میتوانست
- بحرانی
- جرایم اینترنتی
- داده ها
- مرکز داده
- روز
- دسامبر
- دسامبر
- عمیق
- پروژه
- مشکل
- افشاء
- ورود
- محیط
- محیط
- حتی
- همه چیز
- اعدام
- بهره برداری
- قرار گرفتن در معرض
- برای
- تازه
- از جانب
- کاملا
- داده
- نگه داشتن
- HTML
- HTTPS
- if
- بلافاصله
- تأثیرگذاری
- in
- شاخص ها
- اینترنت
- به
- IT
- ITS
- JPG
- تنها
- نام
- آخرین
- احتمالا
- فهرست
- باعث می شود
- مخرب
- نظارت بر
- ماه
- اکثر
- چندگانه
- شبکه
- به تازگی
- نه
- توجه داشته باشید
- اشاره کرد
- of
- on
- ONE
- or
- کدام سازمان ها
- سازمان های
- خارج
- خارج از
- گذشته
- وصله
- پچ های
- سنگفرش
- طاعون
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- محبوب
- امکان
- ممکن
- پتانسیل
- آماده
- پیش گفتار
- محفوظ
- باجافزار
- رتبه
- می رسد
- گرفتن
- توصیه می کند
- منتشر شد
- دور
- برداشتن
- s
- همان
- مقیاس
- تیم امنیت لاتاری
- سرور
- چند
- باید
- So
- نرم افزار
- توسعه نرم افزار
- سیستم های
- گرفتن
- قالب
- که
- La
- شان
- آنها
- این
- کسانی که
- اگر چه؟
- از طریق
- به
- امروز
- درست
- بی تأثیر
- به روز رسانی
- استفاده
- معمولا
- نسخه
- نسخه
- آسیب پذیری ها
- آسیب پذیری
- بود
- مسیر..
- که
- WHO
- اراده
- با
- در داخل
- گردش کار
- X
- زفیرنت
