PT-2024-2438 · Atlassian+3 · Confluence+3
Bob Marinier
·
Publicado
2024-03-13
·
Atualizado
2026-05-18
·
CVE-2024-29131
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache Commons Configuration, versões 2.0 a 2.10.0
Atlassian Confluence Data Center, versões 7.17.0 a 8.9.0
Atlassian Confluence Server, versões 7.17.0 a 8.5.8
Descrição
O problema está relacionado a uma vulnerabilidade de gravação fora dos limites na biblioteca Apache Commons Configuration, especificamente na função
AbstractListDelimiterHandler.flattenIterator(). Essa vulnerabilidade pode ser explorada por um invasor remoto para executar código arbitrário usando dados especialmente criados. A vulnerabilidade pode causar um estouro de pilha, levando a uma condição de negação de serviço.Recomendações
Apache Commons Configuration versões 2.0 a 2.10.0: atualize para a versão 2.10.1.
Atlassian Confluence Data Center versões 7.17.0 a 8.9.0: atualize para a versão 8.9.1 ou a versão mais recente.
Atlassian Confluence Data Center versões 8.5.0 a 8.5.8: atualize para a versão 8.5.9 LTS ou 8.9.1.
Versões do Atlassian Confluence Server de 7.17.0 a 8.5.8: atualize para a versão 8.5.9 LTS ou a versão mais recente.
Versões do Atlassian Confluence Data Center e Server anteriores à 7.17.0: atualize para a versão 8.9.1, 8.5.9 LTS ou 7.19.23 LTS.
Correção
DoS
Resource Exhaustion
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Commons Configuration
Confluence
Debian
Suse