Vulnerabilidad en Confluence Data Center y Server (CVE-2024-21686)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/07/2024
Última modificación:
19/03/2025
Descripción
Esta vulnerabilidad XSS almacenado de alta gravedad se introdujo en las versiones 7.13 de Confluence Data Center y Server. Esta vulnerabilidad XSS almacenado, con una puntuación CVSS de 7,3, permite a un atacante autenticado ejecutar código HTML o JavaScript arbitrario en el navegador de una víctima, lo que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, ningún impacto en la disponibilidad y requiere la interacción del usuario. Atlassian recomienda que los clientes de Confluence Data Center y Server actualicen a la última versión; si no puede hacerlo, actualice su instancia a una de las versiones correctoras admitidas especificadas que se enumeran en este CVE. Consulte las notas de la versión (https://confluence.atlassian.es/doc/confluence-release-notes-327.html). Puede descargar la última versión de Confluence Data Center and Server desde el centro de descargas (https://www.atlassian.com/software/confluence/download-archives). Esta vulnerabilidad fue reportada a través de nuestro programa Bug Bounty.
Impacto
Puntuación base 3.x
8.70
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.19.22 (excluyendo) | |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.20.0 (incluyendo) | 8.5.9 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 8.6.0 (incluyendo) | 8.9.1 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.19.22 (excluyendo) | |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.20.0 (incluyendo) | 8.5.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página