Atlassian publicó recientemente un aviso de seguridad sobre su producto de servidor y centro de datos Confluence. La plataforma colaborativa se ve afectada por una falla crítica que provoca la ejecución remota de código (RCE). La vulnerabilidad, denominada CVE-2024-21683 y con una puntuación CVSS de 8,3/10, no requiere la interacción del usuario y tiene un gran impacto en la confidencialidad, integridad y disponibilidad del servicio de configuración.

“Esta vulnerabilidad de ejecución remota de código (RCE) de alta gravedad se introdujo en la versión 5.2 de Confluence Data Center y Confluence Server”, se lee en la alerta. “Atlassian recomienda que los clientes de Confluence Data Center y Confluence Server actualicen a la última versión”. El proveedor ha corregido la vulnerabilidad en versiones recientes del software.

Índice
  1. Error de validación de entrada
  2. Actualizaciones con hotfix

Error de validación de entrada

La vulnerabilidad fue descubierta por los equipos de SonicWall, quienes han publicado los resultados de su trabajo. Proviene del mecanismo de validación de entrada en la función “Agregar un nuevo lenguaje” de la sección “Configurar Macro de Código”. “Esta función se utiliza para descargar una nueva definición de lenguaje de macro de bloque de código para personalizar el formato y el resaltado de sintaxis”, explica el informe. Añade que “espera que el archivo Javascript esté formateado de acuerdo con la sintaxis de Custom Brush. Un atacante autenticado puede aprovechar esta validación insuficiente para inyectar código Java malicioso incrustado en un archivo, que se ejecutará en el servidor”.

Por lo tanto, para que el atacante pueda aprovechar la falla, necesitaría obtener acceso a la red vulnerable, tener el privilegio de agregar otros lenguajes de macros y cargar el lenguaje JavaScript falsificado en Configure Code Macro. La investigación de SonicWall también hace referencia a la vulnerabilidad que se está explotando como parte de una prueba de concepto (PoC).

Actualizaciones con hotfix

La falla afecta a las versiones 5.2, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.8.0, 8.7.1, 8.9.0 de Confluence Data Center y Server. Los parches para el software defectuoso están incluidos en las versiones 8.9.1, 8.5.9 y 7.19.22, que abordan todas las versiones afectadas. “Atlassian recomienda que los clientes de Confluence Server actualicen a la última versión”, dijo la compañía en su aviso. “Si no puede hacerlo, actualice su instancia a una de las versiones parcheadas compatibles especificadas”, agregó. Además, SonicWall ha proporcionado dos Firmas de prevención de intrusiones (IPS) para que los clientes eviten la explotación de la vulnerabilidad. “Dado el papel central de Confluence Server en el mantenimiento de la base de conocimientos de una organización, se recomienda encarecidamente a los usuarios que actualicen sus instancias a las últimas versiones, tal como se describe en el aviso del proveedor”, agregó el proveedor de seguridad.