CVE-2023-52428

Versões do Connect2id Nimbus JOSE+JWT anteriores à 9.37.2

Versões do Confluence Data Center e Server anteriores à 7.19.23

Versões do Confluence Data Center e Server anteriores à 8.5.11

Versões do Confluence Data Center e Server anteriores à 8.6.2

Versões do Confluence Data Center e Server anteriores à 8.7.2

Versões do Confluence Data Center e Server anteriores à 8.9.3

Versões do Bamboo Data Center e Server anteriores à 9.2.15

Versões do Bamboo Data Center e Server anteriores à 9.4.3

Versões do Bamboo Data Center e Server anteriores à 9.5.3

Versões do Bamboo Data Center e Server anteriores à 9.6.3

O problema está relacionado ao componente PasswordBasedDecrypter (PBKDF2) no Connect2id Nimbus JOSE+JWT. Um invasor pode causar uma negação de serviço (consumo de recursos) por meio de um valor grande no cabeçalho JWE p2c (também conhecido como contagem de iterações). Isso permite que um invasor não autenticado exponha ativos no ambiente suscetíveis a exploração, sem impacto na confidencialidade, sem impacto na integridade e com alto impacto na disponibilidade, sem exigir interação do usuário.

Para versões do Connect2id Nimbus JOSE+JWT anteriores à 9.37.2, atualize para a versão 9.37.2 ou posterior.

Para versões do Confluence Data Center e Server anteriores à 7.19.23, atualize para a versão 7.19.23 ou posterior.

Para versões do Confluence Data Center e Server anteriores à 8.5.11, atualize para a versão 8.5.11 ou posterior.

Para versões do Confluence Data Center e Server anteriores à 8.6.2, atualize para a versão 8.6.2 ou posterior.