Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet, Confluence

Sårbarhet i Confluence utnyttjas aktivt.

Confluence publicerade uppdateringar [1] för kritiska sårbarheter den 20 mars, dessa utnyttjas nu aktivt.

Det gäller framförallt CVE-2019-3396 [2], som möjliggör för en angripare att fjärrexekvera skadlig kod via Widget Connector macro.
Widget Connector används för att integrera bl.a. filmer och foton i Confluence.

Den andra sårbarheten gäller WebDAV pluginen, CVE-2019-3395. Denna möjliggör för Server-Side Request Forgery (SSRF).

Påverkade produkter

Alla 1.x.x, 2.x.x, 3.x.x, 4.x.x och 5.x.x versioner
Alla 6.0.x, 6.1.x, 6.2.x, 6.3.x, 6.4.x, och 6.5.x versioner
Alla 6.6.x versioner före 6.6.12
Alla 6.7.x, 6.8.x, 6.9.x, 6.10.x och 6.11.x versioner
Alla 6.12.x versioner före 6.12.3
Alla 6.13.x versioner före 6.13.3
Alla 6.14.x versioner före 6.14.2

Rekommenderad åtgärd

Uppdatera till senaste versionen 6.15.1. Om detta inte är möjligt så uppdatera till senaste versionen av Confluence bugfix.
Det finns även en tillfällig lösning, man kan stänga av pluginerna Widget Connector samt WebDAV tills uppdateringarna har installerats.

Källa

[1] https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
[2] https://jira.atlassian.com/browse/CONFSERVER-57974