A Atlassian lançou patches para duas vulnerabilidades de execução remota de código (RCE) no Confluence Data Center e Server. O mais grave desses problemas, rastreado como CVE-2023-22508, foi introduzido no Confluence versão 7.4.0.

O segundo bug, rastreado como CVE-2023-22505, foi introduzido no Confluence versão 8.0.0. A exploração de ambas as vulnerabilidades pode permitir que um invasor execute código arbitrário com impacto na confidencialidade, integridade e disponibilidade.

Nenhuma interação do usuário é necessária para a exploração, mas o invasor precisa ser autenticado como um usuário válido. Ambas as falhas foram corrigidas com o lançamento das versões 8.3.2 e 8.4.0 do Confluence.

De acordo com a Atlassian, ambas as vulnerabilidades foram descobertas por usuários privados e relatadas por meio do programa de recompensa por bugs da empresa.

A Atlassian observa em seu comunicado que as falhas recém-descobertas são o resultado de um escopo expandido de suas políticas de divulgação de vulnerabilidades, anteriormente focadas em bugs primários de gravidade crítica.