2025-3239: Confluence Data Center, Confluence Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-11-19 12:16)
- Neues Advisory
Betroffene Software
Office
Server
Betroffene Plattformen
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Zum Veröffentlichungszeitpunkt werden die Versionen 10.1.1 (nur Data Center), 10.0.2 bis 10.0.3 (nur Data Center), 9.2.7 bis 9.2.10 (LTS, empfohlen nur Data Center) sowie 8.5.25 bis 8.5.28 (LTS, nur Data Center) als fehlerbereinigte, verfügbare Versionen aufgeführt.
Schwachstellen:
CVE-2022-38900
Schwachstelle in decode-uri-component ermöglicht Denial-of-Service-AngriffCVE-2022-46175
Schwachstelle in JSON5 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-42282
Schwachstelle in npm IP ermöglicht PrivilegieneskalationCVE-2024-37890
Schwachstelle in ws ermöglicht Denial-of-Service-AngriffCVE-2024-45296
Schwachstelle in Path-to-RegExp ermöglicht Denial-of-Service-AngriffCVE-2025-22166
Schwachstelle in Confluence Data Center und Confluence Server ermöglicht Denial-of-Service-AngriffCVE-2025-41248
Schwachstelle in Spring Framework ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-48387
Schwachstelle in Yarn ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.