CH azonosító
CH-11149Angol cím
Atlassian Confluence ClassLoader Security Bypass VulnerabilityFelfedezés dátuma
2014.05.22.Súlyosság
KözepesÉrintett rendszerek
AtlassianConfluence
Érintett verziók
Atlassian Confluence 3.x
Atlassian Confluence 4.x
Atlassian Confluence 5.x
Összefoglaló
Az Atlassian Confluence sérülékenységét jelentették.
Leírás
Az Atlassian Confluence sérülékenységét kihasználva a rosszindulatú támadók megkerülhetnek bizonyos biztonsági szabályokat.
A sérülékenység oka az, hogy a “class” paraméter közvetlenül van hozzárendelve a “getClass()”-hoz és ez kihasználható a ClassLoader manipulálására és ezt követően tetszőleges java kód végrehajtására.
A sérülékenységet a 3.5 és az 5.5.0 verzióban jelentették.
Megoldás
Frissítsen az 5.5.1 verzióra vagy alkalmazza a javításokat.(részletekért olvassa el a gyártói tanácsadást)
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)