A equipe de pesquisa da SonicWall Capture Labs descobriu uma vulnerabilidade de execução de código remoto no Atlassian Confluence Data Center e Server.

A vulnerabilidade, identificada como CVE-2024-21683, tem uma pontuação CVSS alta de 8,3 de 10 e permite que um ator de ameaça autenticado execute código arbitrário.

Para explorar a vulnerabilidade, um cibercriminoso deve ter acesso à rede do sistema vulnerável e possuir o privilégio de adicionar novas linguagens de macro. Para explorar a vulnerabilidade, o atacante pode fazer upload de um arquivo de linguagem JavaScript forjado contendo código malicioso para Configure Code Macro > Add a new language, conforme indicado pelos pesquisadores.

A SonicWall lançou duas assinaturas para seus clientes se prepararem em caso de exploração — IPS: 4437 Atlassian Confluence Data Center e Server RCE e IPS: 4438 Atlassian Confluence Data Center e Server RCE 2 — juntamente com indicadores de comprometimento (IoCs).

Também há código de exploit de prova de conceito (PoC) já disponível para o CVE-2024-21683.

Os pesquisadores recomendam fortemente que os usuários atualizem suas instâncias para as versões mais recentes disponíveis devido ao papel que o Confluence Server pode desempenhar na manutenção da base de conhecimento de uma organização e outras informações críticas. Os bugs do Atlassian Confluence são geralmente populares no circuito de cibercrime, uma vez que a plataforma alcança profundamente em ambientes de rede e é usada para colaboração entre empresas, fluxo de trabalho e desenvolvimento de software.