2024-2737: Confluence Data Center, Confluence Server: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2024-10-16 14:20)

Neues Advisory

Betroffene Software

Office
Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

In Confluence Data Center und Server existieren mehrere Schwachstellen in Drittanbieter-Komponenten, die in Confluence zum Teil einen anderen Angriffsvektor besitzen als vom Hersteller ursprünglich und damit in den angefügten Schwachstellen angegeben. Die schwerwiegendste Schwachstelle (CVE-2024-4367) mit einem CVSS von 8.1 und der Einstufung 'high' ermöglicht einem Angreifer mit üblichen Privilegien aus der Ferne die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs. Weitere Schwachstellen kann ein Angreifer ohne Privilegien aus der Ferne ausnutzen, um Dateien zu manipulieren (Directory Traversal-Angriff) und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Zum Veröffentlichungszeitpunkt werden die Versionen 7.19.26 bis 7.19.28 (LTS), 8.5.11 bis 8.5.16 (LTS) sowie 8.9.3 bis 8.9.7 Data Center Only als fehlerbereinigte, verfügbare Versionen aufgeführt. Der Hersteller empfiehlt allerdings zum Update-Zeitpunkt die dann aktuellste Version einzusetzen.

Schwachstellen:

CVE-2022-24785

Schwachstelle in Moment.js ermöglicht Manipulation von Dateien

CVE-2022-31129

Schwachstelle in Moment.js ermöglicht Denial-of-Service-Angriff

CVE-2024-29131

Schwachstelle in Apache Commons Configuration ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-4367

Schwachstelle in PDF.js ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.