Atlassian heeft beveiligingsupdates uitgebracht voor meerdere producten, waaronder Confluence en Jira, om een ernstige kwetsbaarheid te verhelpen. De kwetsbaarheid, bekend als CVE-2023-22527, heeft een maximale CVSS-score van 10 en maakt het mogelijk om zonder inloggegevens via template-injectie willekeurige code uit te voeren op kwetsbare Confluence Data Center en Server systemen.

Vanwege de publicatie van proof of concept-code heeft het Nationaal Cyber Security Centrum (NCSC) de dreigingsinschatting verhoogd naar High/High. Dit duidt op een grote kans op misbruik en aanzienlijke potentiële schade. Systemen die direct met het internet verbonden zijn, zijn extra kwetsbaar omdat ze eenvoudig te vinden zijn door kwaadwillenden. Volgens scaninformatie van de Shadowserver Foundation zijn er in Nederland ruim 180 vindbare Confluence-omgevingen.

De kwetsbaarheid is aanwezig in versies van Confluence Data Center en Server 8 die vóór 5 december 2023 zijn uitgebracht, inclusief versie 8.4.5. Voor een volledig en actueel overzicht van kwetsbare versies verwijst Atlassian naar het officiële artikel.

Atlassian heeft beveiligingsupdates beschikbaar gesteld om deze kwetsbaarheden te verhelpen. Het Digital Trust Center adviseert om de aanbevolen maatregelen zo snel mogelijk door te voeren en indien nodig ondersteuning van een IT-dienstverlener in te schakelen. De updates zijn te vinden hier.