检测

Atlassian Confluence < 7.19.22/7.20.x < 8.5.9/8.6.x < 8.9.1 XSS (CONFSERVER-96134)

high Nessus 插件 ID 202700

语言:

简介

远程 Atlassian Confluence 主机缺少安全更新。

描述

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-96134 公告中提及的一个漏洞影响。

 - 7.13 版 Confluence Data Center and Server 中引入了高危存储型 XSS 漏洞。利用此 CVSS 得分为 7.3 的存储型 XSS 漏洞,经过身份验证的攻击者需要在用户交互的情况下才能在受害者的浏览器上执行任意 HTML 或 JavaScript 代码,从而对机密性、完整性造成重大影响,但不会影响可用性。Atlassian 建议 Confluence 数据中心和服务器客户升级到最新版本,如果您无法执行此操作,请将实例升级到此 CVE 上列出的以下指定的受支持修复版本之一。请参阅发行说明 (https://confluence.atlassian.com/doc/confluence-release-notes-327.html)。您可以从下载中心下载最新版本的 Confluence Data Center and Server (https://www.atlassian.com/software/confluence/download-archives)。此漏洞通过我们的缺陷奖金计划报告。(CVE-2024-21686)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 Atlassian Confluence 7.19.22、8.5.9、8.9.1 或更新版本。

另见

https://jira.atlassian.com/browse/CONFSERVER-96134

插件详情

严重性: High

ID: 202700

文件名: confluence_confserver-96134.nasl

版本: 1.2

类型: combined

代理: windows, macosx, unix

发布时间: 2024/7/19

最近更新时间: 2025/2/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 6.3

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 6.3

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS 分数来源: CVE-2024-21686

CVSS v3

风险因素: High

基本分数: 8.7

时间分数: 7.6

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:atlassian:confluence

必需的 KB 项: installed_sw/Atlassian Confluence

易利用性: No known exploits are available

补丁发布日期: 2024/7/10

漏洞发布日期: 2024/7/16

参考资料信息

CVE: CVE-2024-21686

IAVA: 2024-A-0412