Esta semana la firma de desarrollo de software Atlassian confirmó a sus clientes que los parches de seguridad para abordar una vulnerabilidad crítica en la solución empresarial Confluence ya están disponibles. La compañía con sede en Australia señala que esta es una falla de inyección OGNL que podría ser explotada por actores de amenazas no autenticados con el fin de ejecutar código arbitrario en las implementaciones vulnerables.
Confluence es un software de colaboración en equipo escrito en Java y utilizado principalmente en entornos corporativos. Esta solución es vendida tanto como software de uso local como solución de servidor.
Identificada como CVE-2021-26084, la falla impactaba en todas las versiones actuales de Confluence y recibió un puntaje de 9.8/10 según el Common Vulnerability Scoring System (CVSS). La compañía señala que las versiones seguras son v6.13.23, v7.4.11, v7.11.6, v7.12.5 y v7.13.0. Esta vulnerabilidad fue reportada por el investigador de seguridad Benny Jacob a través del programa de recompensa de la compañía. Cabe mencionar que este es el primer reporte sobre una vulnerabilidad en Atlassian Confluence publicado desde finales de 2019.
Los productos de Atlassian son un objetivo muy atractivo para cibercriminales y grupos de hacking auspiciados por actores estatales, por lo que se recomienda a las organizaciones que usen implementaciones afectadas actualizar a la brevedad para prevenir cualquier riesgo de explotación.
La información sobre el programa de recompensas de Atlassian, disponible en Bugcrowd, señala que los investigadores que presenten reportes por fallas de alta severidad en Concluence Server pueden recibir hasta $6,000 USD. El pago más alto establecido en el programa de recompensas de Atlassian es de $10,000 USD.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
