Cập nhật ngay bản vá cho lỗ hổng XSS nghiêm trọng trong Atlassian Confluence

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
84
546 bài viết
Cập nhật ngay bản vá cho lỗ hổng XSS nghiêm trọng trong Atlassian Confluence
Atlassian vừa phát hành bản vá để giải quyết lỗ hổng cross-site scripting (XSS) ảnh hưởng đến nhiều phiên bản máy chủ Confluence và Trung tâm dữ liệu (Data Center) khiến hãng này khuyến cáo quản trị viên cần vá ngay lập tức.

1708584049469.png

Lỗ hổng có mã định danh CVE-2024-21678, điểm CVSS 8,5, có thể cho phép kẻ tấn công đã xác thực thực thi mã HTML hoặc JavaScript tùy ý trên trình duyệt của nạn nhân và không yêu cầu tương tác của người dùng. Hậu quả là kẻ tấn công có thể:
  • Đánh cắp thông tin đăng nhập và phiên làm việc của người dùng
  • Gây tổn hại đến tính toàn vẹn dữ liệu bằng cách chèn nội dung độc hại vào các trang Confluence
  • Xâm nhập các máy ngang hàng trong hệ thống để đánh cắp dữ liệu hoặc lây nhiễm ransomware.
Theo thống kê của WhiteHat, hiện ở Việt Nam có 228 trên hơn 260.000 máy chủ có thể bị ảnh hưởng bởi lỗ hổng này.

CVE-2024-21678 được phát hiện lần đầu trong phiên bản 2.7.0 của Confluence Data Center. Để đảm bảo an toàn, người dùng Confluence Data Center nên cập nhật lên phiên bản mới nhất.

Đối với khách hàng sử dụng Confluence Server, hãng đề xuất nâng cấp lên dòng phiên bản mới nhất trong 8.5.x được hỗ trợ dài hạn (LTS).

Trường hợp không thể thực hiện cập nhật lên phiên bản mới nhất, quản trị viên có thể lựa chọn một trong những phiên bản theo hướng dẫn sau.

1708583897313.png


1708583920425.png

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
atlassian confluence cross-site scripting cve-2024-21678 lỗ hổng xss
Bên trên