csaf_certbund - wid-sec-w-2024-0668

wid-sec-w-2024-0668

Vulnerability from csaf_certbund

Published

2024-03-19 23:00

Modified

2024-03-19 23:00

Summary

Atlassian Confluence: Schwachstelle ermöglicht Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Confluence ist eine kommerzielle Wiki-Software.

Angriff

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Atlassian Confluence ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.

Betroffene Betriebssysteme

- Linux - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Confluence ist eine kommerzielle Wiki-Software.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Atlassian Confluence ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0668 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0668.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0668 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0668"
      },
      {
        "category": "external",
        "summary": "Atlassian Security Advisory vom 2024-03-19",
        "url": "https://github.com/advisories/GHSA-vcmw-wwpg-fvfx"
      },
      {
        "category": "external",
        "summary": "Atlassian Security Bulletin - March 19 2024",
        "url": "https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html"
      },
      {
        "category": "external",
        "summary": "Jira",
        "url": "https://jira.atlassian.com/browse/CONFSERVER-94604"
      }
    ],
    "source_lang": "en-US",
    "title": "Atlassian Confluence: Schwachstelle erm\u00f6glicht Gef\u00e4hrdung der Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit",
    "tracking": {
      "current_release_date": "2024-03-19T23:00:00.000+00:00",
      "generator": {
        "date": "2024-03-20T10:07:17.247+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.0"
        }
      },
      "id": "WID-SEC-W-2024-0668",
      "initial_release_date": "2024-03-19T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-03-19T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "Data Center \u003c 8.8.1",
                "product": {
                  "name": "Atlassian Confluence Data Center \u003c 8.8.1",
                  "product_id": "T033551",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:atlassian:confluence:data_center__8.8.1"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "Data Center and Server \u003c 8.5.7",
                "product": {
                  "name": "Atlassian Confluence Data Center and Server \u003c 8.5.7",
                  "product_id": "T033552",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:atlassian:confluence:data_center_and_server__8.5.7"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "Data Center and Server \u003c 7.19.20",
                "product": {
                  "name": "Atlassian Confluence Data Center and Server \u003c 7.19.20",
                  "product_id": "T033553",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:atlassian:confluence:data_center_and_server__7.19.20"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Confluence"
          }
        ],
        "category": "vendor",
        "name": "Atlassian"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-21677",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in Atlassian Confluence. Dieser Fehler besteht in den Komponenten Data Center und Server aufgrund eines Path Traversal Problems. Ein entfernter, anonymer Angreifer kann diese Schwachstelle zur Ausf\u00fchrung die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
        }
      ],
      "release_date": "2024-03-19T23:00:00Z",
      "title": "CVE-2024-21677"
    }
  ]
}

cve-2024-21677

Vulnerability from cvelistv5

Published

2024-03-19 17:00

Modified

2024-08-01 22:27

Severity

8.3 (High) - cvssV3_0 - CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Summary

This High severity Path Traversal vulnerability was introduced in version 6.13.0 of Confluence Data Center. This Path Traversal vulnerability, with a CVSS Score of 8.3, allows an unauthenticated attacker to exploit an undefinable vulnerability which has high impact to confidentiality, high impact to integrity, high impact to availability, and requires user interaction. Atlassian recommends that Confluence Data Center and Server customers upgrade to latest version, if you are unable to do so, upgrade your instance to one of the specified supported fixed versions: Data Center Atlassian recommends that Confluence Data Center customers upgrade to the latest version and that Confluence Server customers upgrade to the latest 8.5.x LTS version. If you are unable to do so, upgrade your instance to one of the specified supported fixed versions See the release notes https://confluence.atlassian.com/doc/confluence-release-notes-327.html You can download the latest version of Confluence Data Center and Server from the download center https://www.atlassian.com/software/confluence/download-archives. This vulnerability was reported via our Bug Bounty program.

References

URL	Tags
https://confluence.atlassian.com/pages/viewpage.action?pageId=1369444862
https://jira.atlassian.com/browse/CONFSERVER-94604

Impacted products

Vendor	Product
Atlassian	Confluence Data Center

Show details on NVD website