CVE-2024-21678: High-Severity Atlassian Confluence XSS – Act Now
2024/02/21 SecurityOnline — Atlassian は、CVE-2024-21678 (CVSS:8.5) に対処するセキュリティ・アップデートをリリースした。この、深刻度の高い蓄積型 cross-site scripting (XSS) 脆弱性は、複数の Confluence Server/Data Center バージョンに影響を与えるものである。影響を受けるソフトウェアを使用している場合には、迅速なパッチ適用もしくは、優先的なアップグレードが必要である。
Atlassian のアドバイザリには、「この脆弱性の悪用に成功した認証された攻撃者は、被害者のブラウザ上において、任意の HTML または JavaScript コードの実行が可能になる。このコードは、機密性への影響は大きく、完全性への影響は小さく、可用性への影響はなく、ユーザーによる操作を必要としない」と記されている。
この XSS の脆弱性を悪用する前提として、攻撃者は認証が必要となる。悪用された場合は、以下のような被害が生じる可能性がある:
- セッション・ハイジャック:攻撃者は、認証情報とセッショントークンを盗み、特権を昇格させ、Confluence の機密データへの不正アクセスが可能になる。
- データの完全性の侵害:攻撃者は、悪意のコンテンツを注入して、Confluence インスタンスを改ざんし、ユーザーを誘導することで、プラットフォームへの信頼を損なう可能性がある。
- 横方向への移動:攻撃者は、XSS を足がかりに、組織のネットワーク内でさらなる攻撃を行い、データの流出やランサムウェアの展開に発展させる可能性がある。
脆弱性 CVE-2024-21678 は、Confluence Data Center のバージョン 2.7.0 で初めて出現した。Atlassian は、Confluence Data Center のユーザーに対して、最新リリースへのアップデートを勧めている。それが不可能である場合には、公式にサポートされている、指定されたバージョンへアップグレードする必要がある。
| Affected versions | Fixed versions |
|---|---|
| 8.7.0〜8.7.1 | 8.8.0/8.7.2 |
| 8.6.0〜8.6.1 | 8.8.0 |
| 8.5.0〜8.5.4 LTS | 8.8.0/8.5.5 LTS/8.5.6 LTS |
| 8.4.0〜8.4.5 | 8.8.0/8.5.5 LTS/8.5.6 LTS |
| 8.3.0〜8.3.4 | 8.8.0/8.5.5 LTS/8.5.6 LTS |
| 8.2.0〜8.2.3 | 8.8.0/8.5.5 LTS/8.5.6 LTS |
| 8.1.0〜8.1.4 | 8.8.0/8.5.5 LTS/8.5.6 LTS |
| 8.0.0〜8.0.4 | 8.8.0/8.5.5 LTS/8.5.6 LTS |
| 7.20.0〜7.20.3 | 8.8.0/8.5.5 LTS/8.5.6 LTS |
| 7.19.0〜7.19.17 LTS | 8.8.0/8.5.6 LTS/7.19.18 LTS/7.19.19 LTS |
| 7.18.0〜7.18.3 | 8.8.0/8.5.6 LTS/7.19.19 LTS |
| 7.17.0〜7.17.5 | 8.8.0/8.5.6 LTS/7.19.19 LTS |
| それ以前の全てのバージョン | 8.8.0/8.5.6 LTS/7.19.19 LTS |
文中でも指摘されているように、Atlassian Confluence の脆弱性は標的にされやすいので、ご利用のチームは注意が必要です。直近の脆弱性は、2024/01/22 の「Atlassian Confluence の深刻な RCE 脆弱性 CVE-2023-22527 が FIX:積極的な悪用を観測」となっています、よろしければ、Atlassian Confluence で検索と併せて、ご参照ください
IoT OT Security News 
You must be logged in to post a comment.