-
09/04/2020
-
93
-
611 bài viết
Cập nhật ngay bản vá cho lỗ hổng XSS nghiêm trọng trong Atlassian Confluence
Atlassian vừa phát hành bản vá để giải quyết lỗ hổng cross-site scripting (XSS) ảnh hưởng đến nhiều phiên bản máy chủ Confluence và Trung tâm dữ liệu (Data Center) khiến hãng này khuyến cáo quản trị viên cần vá ngay lập tức.
Lỗ hổng có mã định danh CVE-2024-21678, điểm CVSS 8,5, có thể cho phép kẻ tấn công đã xác thực thực thi mã HTML hoặc JavaScript tùy ý trên trình duyệt của nạn nhân và không yêu cầu tương tác của người dùng. Hậu quả là kẻ tấn công có thể:
CVE-2024-21678 được phát hiện lần đầu trong phiên bản 2.7.0 của Confluence Data Center. Để đảm bảo an toàn, người dùng Confluence Data Center nên cập nhật lên phiên bản mới nhất.
Đối với khách hàng sử dụng Confluence Server, hãng đề xuất nâng cấp lên dòng phiên bản mới nhất trong 8.5.x được hỗ trợ dài hạn (LTS).
Trường hợp không thể thực hiện cập nhật lên phiên bản mới nhất, quản trị viên có thể lựa chọn một trong những phiên bản theo hướng dẫn sau.
Lỗ hổng có mã định danh CVE-2024-21678, điểm CVSS 8,5, có thể cho phép kẻ tấn công đã xác thực thực thi mã HTML hoặc JavaScript tùy ý trên trình duyệt của nạn nhân và không yêu cầu tương tác của người dùng. Hậu quả là kẻ tấn công có thể:
- Đánh cắp thông tin đăng nhập và phiên làm việc của người dùng
- Gây tổn hại đến tính toàn vẹn dữ liệu bằng cách chèn nội dung độc hại vào các trang Confluence
- Xâm nhập các máy ngang hàng trong hệ thống để đánh cắp dữ liệu hoặc lây nhiễm ransomware.
CVE-2024-21678 được phát hiện lần đầu trong phiên bản 2.7.0 của Confluence Data Center. Để đảm bảo an toàn, người dùng Confluence Data Center nên cập nhật lên phiên bản mới nhất.
Đối với khách hàng sử dụng Confluence Server, hãng đề xuất nâng cấp lên dòng phiên bản mới nhất trong 8.5.x được hỗ trợ dài hạn (LTS).
Trường hợp không thể thực hiện cập nhật lên phiên bản mới nhất, quản trị viên có thể lựa chọn một trong những phiên bản theo hướng dẫn sau.
Theo Security Online