Atlassian a publié récemment un avis de sécurité concernant son produit Confluence pour datacenter et server. La plateforme collaborative est en effet touchée par une faille critique entraînant l’exécution de code à distance (RCE). Référencée comme CVE-2024-21683 et affectée d’un score CVSS de 8.3/10, la vulnérabilité ne nécessite aucune interaction de la part de l’utilisateur, avec un impact élevé sur la confidentialité, l'intégrité et la disponibilité du service de configuration

« Cette vulnérabilité RCE (Remote Code Execution) de haute gravité a été introduite dans la version 5.2 de Confluence Data Center et Confluence Server », peut-on lire dans l’alerte. « Atlassian recommande aux clients de Confluence Data Center et de Confluence Server d'effectuer une mise à jour vers la dernière version ». La vulnérabilité a été corrigée par le fournisseur dans les dernières versions du logiciel.

Défaut de validation des entrées

La brèche a été découverte par les équipes de SonicWall qui ont publié les résultats de leurs travaux. Elle provient du mécanisme de validation des entrées dans la fonction « Add a new language » de la section « Configure Code Macro ». « Cette fonction est utilisée pour télécharger une nouvelle définition de langage macro de bloc de code pour personnaliser le formatage et la mise en évidence de la syntaxe », explique le rapport. Il ajoute, « elle s'attend à ce que le fichier Javascript soit formaté conformément à la syntaxe Custom Brush. Un attaquant authentifié peut profiter de cette validation insuffisante pour injecter un code Java malveillant intégré dans un fichier, qui sera exécuté sur le serveur ».

Ainsi, pour que le cybercriminel puisse exploiter la faille, il doit gagner l’accès au réseau vulnérable, avoir le privilège d'ajouter d’autres langages macro et télécharger le langage JavaScript falsifié dans Configure Code Macro. La recherche de SonicWall fait également référence à une exploitation de la vulnérabilité dans le cadre d'une preuve de concept (PoC).

Mises à jour avec correctif

La faille affecte les versions 5.2, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.8.0, 8.7.1, 8.9.0 de Confluence Data Center et Server. Des correctifs pour le logiciel défectueux sont inclus dans les versions 8.9.1, 8.5.9, et 7.19.22, qui corrigent toutes les versions affectées. « Atlassian recommande aux clients de Confluence Server d'effectuer une mise à jour vers la dernière version », indique l’éditeur dans son avis. « Si vous n'êtes pas en mesure de le faire, mettez votre instance à niveau vers l'une des versions corrigées prises en charge spécifiées » ajoute-t-il. Par ailleurs, SonicWall a fourni deux signatures de prévention des intrusions (Intrusion Prevention Signatures, IPS) pour que les clients empêchent toute exploitation de la vulnérabilité. « Compte tenu du rôle central de Confluence Server dans la maintenance de la base de connaissances d'une entreprise, les utilisateurs sont fortement encouragés à mettre à jour leurs instances vers les dernières versions, comme indiqué dans l'avis du fournisseur », a ajouté le fournisseur de sécurité.