[TLP:CLEAR] Atlassian opravuje 2 zranitelnosti
Atlassian opravuje 2 zranitelnosti v produktech Confluence Data Center a Assets Discovery. Postižené produkty a jejich opravené verze: Confluence Data Center - 8.8.0, 8.7.2, 8.5.5 , 7.19.18 Assets Discovery - 6.2.1
Autentizovanému vzdálenému útočníkovi je umožněno změnit akce prováděné systémovým voláním [1].
Zranitelnost se nachází v produktu Assets Discovery ve verzích <6.2.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-21682 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 1. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno spustit v prohlížeči oběti libovolný HTML kód nebo JavaScript [2].
Zranitelnost se nachází v produktu Confluence Data Center ve verzích (<7.19.18) OR (>=7.20.0 AND <8.5.5) OR (>=8.6.0 AND <8.7.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
Více informací:
- CVE-2024-21678 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 2. 2024.
Odkazy
Publikovala Michaela Mačalíková dne 27. 2. 2024.
