Vulnerabilidad en Confluence Data Center (CVE-2024-21678)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/02/2024
Última modificación:
06/05/2025
Descripción
Esta vulnerabilidad XSS almacenada de alta gravedad se introdujo en la versión 2.7.0 de Confluence Data Center. Esta vulnerabilidad XSS almacenada, con una puntuación CVSS de 8,5, permite a un atacante autenticado ejecutar código HTML o JavaScript arbitrario en el navegador de una víctima, lo que tiene un alto impacto en la confidencialidad, un bajo impacto en la integridad, ningún impacto en la disponibilidad y no requiere interacción del usuario. Centro de datos Atlassian recomienda que los clientes de Confluence Data Center actualicen a la última versión. Si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas: ||Versiones afectadas||Versiones fijas|| |de 8.7.0 a 8.7.1|se recomienda 8.8.0 o 8.7.2| |de 8.6.0 a 8.6.1|se recomienda 8.8.0| |de 8.5.0 a 8.5.4 LTS|se recomienda 8.8.0 o 8.5.5 LTS o 8.5.6 LTS| |de 8.4.0 a 8.4.5|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.3.0 a 8.3.4|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.2.0 a 8.2.3|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.1.0 a 8.1.4|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.0.0 a 8.0.4|se recomienda 8.8.0 o 8.5.6 LTS| |de 7.20.0 a 7.20.3|se recomienda 8.8.0 o 8.5.6 LTS| |de 7.19.0 a 7.19.17 LTS|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.18 LTS o 7.19.19 LTS| |de 7.18.0 a 7.18.3|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.19 LTS| |de 7.17.0 a 7.17.5|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.19 LTS| |Cualquier versión anterior|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.19 LTS| Server Atlassian recomienda que los clientes de Confluence Server actualicen a la última versión 8.5.x LTS. Si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas: ||Versiones afectadas||Versiones fijas|| |de 8.5.0 a 8.5.4 LTS|Se recomienda 8.5.5 LTS o 8.5.6 LTS | |de 8.4.0 a 8.4.5|se recomienda 8.5.6 LTS| |de 8.3.0 a 8.3.4|se recomienda 8.5.6 LTS| |de 8.2.0 a 8.2.3|se recomienda 8.5.6 LTS| |de 8.1.0 a 8.1.4|se recomienda 8.5.6 LTS| |de 8.0.0 a 8.0.4|se recomienda 8.5.6 LTS| |de 7.20.0 a 7.20.3|se recomienda 8.5.6 LTS| |de 7.19.0 a 7.19.17 LTS|Se recomienda 8.5.6 LTS o 7.19.18 LTS o 7.19.19 LTS| |de 7.18.0 a 7.18.3|Se recomienda 8.5.6 LTS o 7.19.19 LTS| |de 7.17.0 a 7.17.5|Se recomienda 8.5.6 LTS o 7.19.19 LTS| |Cualquier versión anterior|se recomienda 8.5.6 LTS o 7.19.19 LTS| Consulte las notas de la versión ([https://confluence.atlassian.com/doc/confluence-release-notes-327.html]). Puede descargar la última versión de Confluence Data Center desde el centro de descargas ([https://www.atlassian.com/software/confluence/download-archives]). Esta vulnerabilidad se informó a través de nuestro programa Bug Bounty.
Impacto
Puntuación base 3.x
8.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.19.19 (excluyendo) | |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.20.0 (incluyendo) | 8.5.5 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 8.6.0 (incluyendo) | 8.7.2 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.19.19 (excluyendo) | |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.20.0 (incluyendo) | 8.5.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página