Atlassian Cloud ha reportado una nueva vulnerabilidad explotada activamente de día Cero (0-day) en Confluence Server y Data Center de Atlassian, que permitiría a un atacante no autenticado realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-26134 de severidad crítica, sin puntuación asignada aún. Esta se debe a un exploit que se había lanzado para Confluence Server y Data Center de Atlassian, logrando instalar BEHINDER, una shell web JSP. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).
Los productos afectados son:
- Confluence Server.
- Confluence Data Center.
Nota: Atlassian Cloud no se ve afectada por esta vulnerabilidad. Si se accede al sitio de Confluence a través de un dominio atlassian.net, no es vulnerable.
Actualmente Atlassian está trabajando en parches para CVE-2022-26134, sin embargo, sugerimos seguir las siguientes instrucciones de mitigación para la vulnerabilidad:
- Restringir el acceso a las instancias de Confluence Server y Data Center desde Internet.
- Desactivar las instancias de Confluence Server y Data Center.
- Si no puede tomar las medidas anteriores, implementar una regla WAF (Web Application Firewall) que bloquee las URL que contengan los caracteres ${. y lograr reducir el riesgo.
Referencias: