Atlassian Confluence – dwa krytyczne bugi – łatajcie

Błędy otrzymały status critical (co oznacza w produktach Atlassian co najmniej 9.0/10 w skali CVSSv3):

Confluence Server and Data Center versions released before the 18th June 2018 are vulnerable to this issue. A remote attacker is able to exploit a Server-Side Request Forgery (SSRF) vulnerability in the WebDAV plugin to send arbitrary HTTP and WebDAV requests from a Confluence Server or Data Center instance.

(…) There was an server-side template injection vulnerability in Confluence Server and Data Center, in the Widget Connector.

Maksymalny problem to możliwość wykonania dowolnego kodu na serwerze, a mamy tutaj dwie osobne rzeczy: podatność SSRF oraz SSTI. Łatajcie zanim będzie za późno – w szczególności, że jak potwierdziliśmy co najmniej jedna z tych podatności nie wymaga uwierzytelnienia.

–ms