Fecha de publicación: 06/06/2022
Nivel de peligrosidad: CRÍTICO
- El fabricante ha liberado diversas versiones que corrigen la vulnerabilidad.
El CCN-CERT, del Centro Criptológico Nacional, avisa de que el fabricante Atalassian ha liberado las siguientes versiones, que corrigen la vulnerabilidad CVE-2022-26134: 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 y 7.18.1, encontrada en Confluence el pasado 3 de junio, y que permitía la ejecución remota de código sin autenticación en Confluence Server y Data Center. Se recomienda aplicar la actualización correspondiente de manera urgente.
Si no fuera posible una actualización inmediata de la instancia de Confluence, el fabricante recomienda actualizar un conjunto de ficheros como medida de mitigación. El procedimiento se detalla en el siguiente enlace: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Resumen de la vulnerabilidad
Según la información suministrada por Atlassian la vulnerabilidad fue activamente explotada y permitía la ejecución remota de código sin autenticación previa.
Severidad
Atlassian calificó el nivel de gravedad de esta vulnerabilidad como crítico, según su propia escala de medición.
Qué hacer
El fabricante recomienda actualizar de manera urgente y, para ello, ha lanzado las versiones 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 y 7.18.1. Se recomienda aplicar la actualización correspondiente de manera urgente y, si no fuera posible una actualización inmediata, se recomienda actualizar un conjunto de ficheros como medida de mitigación.
Referencias
Atentamente,
Equipo CCN-CERT