Atlassian waarschuwt gebruikers voor een kritieke kwetsbaarheid in zijn Confluence-software en stelt als oplossing versies zonder de bug voor.
Atlassian heeft een kwetsbaarheid in zijn Confluence-software ontdekt, onder de naam CVE-2021-26084. Dankzij de ‘Object-Graph Navigation Language’ (OGNL)-kwetsbaarheid kunnen gebruikers met of zonder toegang willekeurige codes uitvoeren op een Confluence-server of datacenter. De kwetsbaarheid krijgt een CVSS-score van 9,8 op 10, wat erg hoog is.
Oplossing
Om het probleem op te lossen, stelt Atlassian een upgrade naar de laatste versie van de software voor, namelijk 7.13.0, die vorige week uitkwam. Andere versies van het product die de kwetsbaarheid niet bezitten zijn 6.13.23, 7.4.11, 7.11.6 en 7.12.5. Gezien een volledige upgrade naar 7.13.0 niet voor alle gebruikers mogelijk is, kunnen ze gebruik maken van de andere versies. Cloudgebruikers van Confluence zijn geen slachtoffer van de kwetsbaarheid en moeten zich dus ook geen zorgen maken.
Atlassian geeft weinig prijs over de kwetsbaarheid. Het verwijst echter wel naar OGNL, een ‘Expression Language’ (EL) voor het verkrijgen en instellen van properties voor Java-objecten. Het bedrijf geeft ook niet aan of de kwetsbaarheid voortspruit uit opensourcecode of uit het bedrijf zelf.
De kwetsbaarheid doet een beetje denken aan die in Microsoft Exchange eerder dit jaar. Toen waren on-premises-installaties van Exchange kwetsbaar, maar bleven cloudgebruikers veilig. Hier geldt hetzelfde. De lekken tonen zo aan hoe de cloud in bepaalde gevallen een belangrijk cybersecurityvoordeel met zich meebrengt vergeleken met on-premises-installaties.