Atlassian vá lỗ hổng thực thi mã nghiêm trọng trên Confluence

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 27/08/21, 07:08 AM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,037
    Đã được thích: 488
    Điểm thành tích:
    83
    Atlassian vừa phát đi cảnh báo liên quan đến lỗ hổng bảo mật trong sản phẩm Confluence dành cho khách hàng doanh nghiệp.

    Lỗ hổng OGNL Injection cho phép kẻ tấn công đã xác thực, cũng như kẻ tấn công chưa xác thực trong một số điều kiện nhất định thực thi mã tùy ý trên các sản phẩm Confluence Server và Jira Confluence Data Center.

    Atlassian-Jira.png

    Lỗ hổng có mã định danh CVE-2021-26084 và điểm CVSS là 9.8, Atlassian đã vá lỗi này thông qua việc phát hành phiên bản 6.13.23, 7.4.11, 7.11.6, 7.12.5 và 7.13.0.

    Lỗ hổng được báo cáo tới Atlassian thông qua chương trình tìm kiếm lỗ hổng bảo mật của hãng bởi nhà nghiên cứu Benny Jacob của SnowyOwl. Do mức độ nghiêm trọng, Atlassian đã xếp hạng lỗi là P1 để ưu tiên khắc phục.

    Chương trình tìm kiếm lỗ hổng của Atlassian hợp tác với nền tảng Bugcrowd, với lỗ hổng có mức độ P1, nhà nghiên cứu có thể nhận tới 6.000 đô la tiền thưởng. Khoản thanh toán cao nhất mà Atlassian cung cấp thông qua chương trình tiền thưởng lỗi là 10.000 đô la.

    Do được dùng nhiều ở các doanh nghiệp, nên các sản phẩm của Atlassian thường là mục tiêu của hacker, hãng khuyến cáo các khách hàng của mình cập nhật bản vá càng sớm càng tốt.
    Theo: securityweek
     
    Last edited by a moderator: 27/08/21, 08:08 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan