Chyba, která nese označení CVE-2023-22527, je hodnocena kritickým skóre CVSS 10, tedy nejvyšší mírou rizika. Jedná se o zranitelnost typu „template injection“, která útočníkům umožňuje vložit škodlivý kód do šablon aplikace a získat přístup k datům. Nově objevená zranitelnost ovlivňuje většinu neaktualizovaných verzí aplikace Confluence.

Atlassian Confluence Data Center a Confluence Server jsou dvě varianty aplikace Confluence od společnosti Atlassian, které slouží jako výkonné nástroje pro týmovou spolupráci a správu dokumentů. Produkty australské společnosti používá více než 170 tisíc společností z celého světa, mezi nimi značky jako Audi, Mercedes-Benz nebo Air France-KLM. Velké popularitě se těší také Česku, používají ho stovky tuzemských firem.

„Zatím neexistuje žádný alternativní způsob, jak tento problém obejít. Důrazně proto doporučujeme provést aktualizaci všech systémů Confluence na opravené nebo novější verze. Pro Confluence Data Center je to verze 8.6.0, ideálně 8.7.1. U Confluence Serveru je to verze 8.5.4 (LTS), Atlassian ale ohlásil ukončení podpory tohoto řešení k 15. únoru 2024.,“ říká Martin Cvrček, Atlassian konzultant ve společnosti Onlio.

„Upozorňujeme, že riziko nevzniká pouze v produkčním prostředí, které bývá často lépe monitorováno, ale i v testovacích a vývojových prostředích. V těchto prostředích se často kopírují produkční databáze a data nejsou anonymizována, proto jsou z hlediska úniku informací kritická. Mnoho administrátorů často neví o velkém počtu těchto ‚neaktivních‘ systémů, které mohou představovat bezpečnostní riziko,“ dodal Cvrček.

Společnost Atlassian 16. ledna vydala také pravidelný bezpečnostní bulletin týkající se 28 vysoce hodnocených zranitelností, které se jí v nejnovějších verzích podařilo úspěšně odstranit. Zranitelnosti zahrnuté v měsíčních bulletinech však představují nižší dopad než ty, které jsou zveřejněné prostřednictvím kritických bezpečnostních upozornění.