Confluence
- CVE-2023-22515 (Broken Access Control Vulnerability in Confluence Data Center and Server): anunciada originalmente como una vulnerabilidad de escalada de privilegios, luego se revaluó como un fallo en el control de acceso. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto crear cuentas administradoras y acceder a los servidores.
Debemos indicarles que esta vulnerabilidad está siendo activamente explotada por los cibercriminales.
Productos afectados:
- Confluence Data Center y Confluence Server
8.0.0
8.0.1
8.0.2
8.0.3
8.0.4
8.1.0
8.1.1
8.1.3
8.1.4
8.2.0
8.2.1
8.2.2
8.2.3
8.3.0
8.3.1
8.3.2
8.4.0
8.4.1
8.4.2
8.5.0
8.5.1
Debido al riesgo potencial que presenta esta vulnerabilidad, desde AndalucíaCERT se recomienda:
- Actualizar las instancias de Confluence siguiendo las indicaciones que proporciona la empresa desarrolladora del producto.
Mitigaciones:
Si no les resulta posible actualizar el producto de forma inmediata, la empresa Atlassian recomienda:
- Restringir el acceso externo por red a la instancia afectada.
- Bloquear el acceso a /setup/*. Esto es posible a realizarlo a nivel de red o mediante la modificación de los ficheros de configuración:
1. En cada nodo, modificar /<confluence-install-dir>/confluence/WEB-INF/web.xml y añadir justo antes de la etiqueta </web-app>:
<security-constraint>
<web-resource-collection>
<url-pattern>/setup/*</url-pattern>
<http-method-omission>*</http-method-omission>
</web-resource-collection>
<auth-constraint />
</security-constraint>
2. Reiniciar la instancia.
Pueden encontrar más información en los siguientes enlaces:
- Atlassian Security Advisory: https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
- Atlassian Support FAQ: https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html
Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.