Atlassian - CVE-2025-64756
Date de publication :
Il s’agit d’une vulnérabilité dans la dépendance glob intégrée par Confluence.
Confluence est une plateforme collaborative de documentation et de gestion de contenu utilisée en entreprise pour les espaces projets, les procédures et le partage d’information.
Le composant vulnérable est la CLI de glob via l’option -c/--cmd. Lorsqu’un nom de fichier malveillant contient des métacaractères shell, ce nom est transmis à un shell avec shell:true et peut être interprété comme une commande. Dans la vision Atlassian, l’exploitation concerne un attaquant authentifié et peut mener à l’exécution de commandes sur le système distant.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-78 : Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
• Confluence Data Center et Server versions 10.2.0 jusqu’à 10.2.6,
• Confluence Data Center et Server versions 10.1.0 jusqu’à 10.1.2,
• Confluence Data Center et Server versions 9.5.1 jusqu’à 9.5.4,
• Confluence Data Center et Server versions 9.2.5 jusqu’à 9.2.14,
• Confluence Data Center et Server version 9.0.1
Solutions ou recommandations
• Confluence Data Center versions 9.2.15 et supérieures,
• Confluence Data Center versions 9.0.2 et supérieures.