Vulnerabilidad en Atlassian (CVE-2023-22522)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
06/12/2023
Última modificación:
11/12/2023
Descripción
Esta vulnerabilidad de inyección de plantilla permite a un atacante autenticado, incluido uno con acceso anónimo, inyectar entradas de usuario no seguras en una página de Confluence. Con este enfoque, un atacante puede lograr la ejecución remota de código (RCE) en una instancia afectada. Las versiones de acceso público de Confluence Data Center and Server que se enumeran a continuación están en riesgo y requieren atención inmediata. Consulte el aviso para obtener detalles adicionales. Los sitios de Atlassian Cloud no se ven afectados por esta vulnerabilidad. Si se accede a su sitio de Confluence a través de un dominio atlassian.net, está alojado en Atlassian y no es vulnerable a este problema.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 4.0 (incluyendo) | 7.19.17 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.4.5 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 8.5.0 (incluyendo) | 8.5.4 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 8.6.0 (incluyendo) | 8.6.2 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:8.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 4.0 (incluyendo) | 7.19.17 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.4.5 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 8.5.0 (incluyendo) | 8.5.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página