0day. Krytyczna podatność w Atlassian Confluence. Bez uwierzytelnienia można uzyskać uprawnienia administratora. CVE-2023-22515

Podatność opisana jest względnie niewinnie: Broken Access Control. Dalej czytamy, że luka była wykorzystywana w realnych atakach:

Firma Atlassian została poinformowana o problemie zgłoszonym przez kilku klientów, polegającym na tym, że zewnętrzni napastnicy mogli wykorzystać nieznaną wcześniej lukę w publicznie dostępnych instancjach Confluence Data Center / Server – w celu utworzenia nieautoryzowanych kont administratorów Confluence.

Atlassian has been made aware of an issue reported by a handful of customers where external attackers may have exploited a previously unknown vulnerability in publicly accessible Confluence Data Center and Server instances to create unauthorized Confluence administrator accounts and access Confluence instances.

Podatność została oznaczona maksymalną wartością CVSS (10/10) i umożliwia z poziomu Internetu stworzenie konta administratora Confluence (oczywiście tylko w przypadku kiedy Confluence jest wystawiony do Internetu).

Nieco więcej informacji o luce znajdziemy tutaj, a jak wspomina ekipa Rapid7 – luka jest „w trywialny sposób exploitowalna”.

~ms