CVE-2024-21690
Confluence Server Análise e mitigação de vulnerabilidades

Visão geral

A High severity Reflected XSS and CSRF (Cross-Site Request Forgery) vulnerability (CVE-2024-21690) was discovered in Confluence Data Center and Server. The vulnerability was introduced in multiple versions including 7.19.0, 7.20.0, 8.0.0 through 8.9.0. This security issue was reported through Atlassian's Bug Bounty program and was disclosed on August 20, 2024 (Atlassian Bulletin).

Detalhes técnicos

The vulnerability has been assigned a CVSS v3.0 score of 7.1 (High) with the vector string CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N. This indicates that the vulnerability can be exploited remotely, requires low attack complexity, needs no privileges, but does require user interaction. The vulnerability allows an unauthenticated attacker to execute arbitrary HTML or JavaScript code on a victim's browser and force an end user to execute unwanted actions on a web application in which they're currently authenticated (ASEC Advisory).

Impacto

The vulnerability has a high impact on confidentiality, low impact on integrity, and no impact on availability. It enables attackers to execute arbitrary HTML or JavaScript code in the victim's browser and can force end users to execute unwanted actions in web applications where they are authenticated (Atlassian Bulletin).

Mitigação e soluções alternativas

Atlassian recommends that Confluence Data Center and Server customers upgrade to the latest version. For those unable to do so, specific fixed versions are provided: Confluence Data Center and Server 7.19 should upgrade to version 7.19.26 or higher, version 8.5 should upgrade to 8.5.14 or higher, and version 9.0 should upgrade to 9.0.1 or higher (Atlassian Bulletin).

Recursos adicionais


OrigemEste relatório foi gerado usando IA

Relacionado Confluence Server Vulnerabilidades:

CVE ID

Gravidade

Pontuação

Tecnologias

Nome do componente

Exploração do CISA KEV

Tem correção

Data de publicação

CVE-2024-21683HIGH8.8
  • Atlassian Fisheye & Crucible logoAtlassian Fisheye & Crucible
  • cpe:2.3:a:atlassian:confluence_server
NãoSimMay 21, 2024
CVE-2024-21686HIGH8.7
  • Confluence Server logoConfluence Server
  • cpe:2.3:a:atlassian:confluence_server
NãoSimJul 16, 2024
CVE-2025-22166HIGH8.3
  • Confluence Server logoConfluence Server
  • cpe:2.3:a:atlassian:confluence_server
NãoSimOct 21, 2025
CVE-2024-21690HIGH8.2
  • Confluence Server logoConfluence Server
  • cpe:2.3:a:atlassian:confluence_server
NãoSimAug 21, 2024
CVE-2024-21703MEDIUM6.4
  • Confluence Server logoConfluence Server
  • cpe:2.3:a:atlassian:confluence_server
NãoSimNov 27, 2024

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."
David EstlickCISO
"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."
Adão FletcherDiretor de Segurança
"Sabemos que se a Wiz identifica algo como crítico, na verdade é."
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades