Dotée d'un score CVSS (common vulnerability scoring system) de 9.8, la faille CVE-2021-26084 dans le logiciel collaboratif Confluence d'Atlassian n'est pas à prendre à la légère. Affectant le langage de navigation objet-graph (OGNL) de cette solution, cette brèche expose à un risque d'exécution de code arbitraire sur une instance serveur ou datacenter de Confluence. Et ce, aussi bien par un utilisateur authentifié que, dans certains cas, une personne qui ne l'est pas.
Dans son bulletin d'alerte, Atlassian indique de nombreuses versions de Confluence affectées par cette faille, dont toutes les versions allant de 4.x.x jusqu'avant la 6.13.23, puis des 6.14.x jusqu'avant la 7.4.11, des 7.5.x jusqu'avant la 7.11.6 et des 7.12.x jusqu'avant la 7.12.5. Les itérations de Confluence protégées contre cette CVE sont les suivantes : 6.13.23, 7.4.11, 7.11.6, 7.12.5 et 7.13.0. Il est donc plus que conseillé de mettre à jour les déclinaisons concernées dès que possible. A noter que ce souci ne concerne pas les utilisateurs de la version cloud de ce produit.
Un script à faire tourner sur l'OS hôte Confluence en cas d'impossibilité de mise à jour
Atlassian précise en outre que tous les utilisateurs n'ont pas forcément la possibilité de migrer directement vers la version 7.13 et qu'il leur faudra dans ce cas d'abord basculer sur une intemédiaire, contenant le correctif, avant de basculer vers la dernière. Dans le cas où une mise à jour s'avère impossible, il est toujours possible de contourner le souci en appliquant un palliatif temporaire via un script à faire tourner sur l'OS système sur lequel Confluence est installé. Ce dernier existe à la fois pour les environnements Linux que Windows, poussé dans le bulletin d'alerte de l'éditeur.
Cette faille a été découverte par Benny Jacob dans le cadre du programme de bug bounty d'Atlassian. Ce n'est pas la première fois qu'une vulnérabilité critique touche Confluence, cela avait déjà été le cas en 2019 avec un risque très fort d'exposition au ransomware GrandCrab.