Множество плъгини на Confluence се оказват уязвими на XSS експлойти

Множество плъгини за cloud приложението за управление на документация Confluence се оказват уязвими на XSS (cross-site scripting) атаки. Благодарение на този си инструмент, нападателите могат да инжектират злонамерен JavaScript код в страници, използвани в рамките на платформата за корпоративно сътрудничество.

Съветът към организациите, които използват пългините с уязвимости PlantUML, Refined, Linking, Countdown Timer и Server Status, е да ъпдейтнат своите системи до най-новите версии, за да запушат пробойните. Препоръчва се още да се извърши „задълбочен анализ на сигурността“, тъй като „плъгините може да бъдат засегнати от допълнителни проблеми със сигурността“, препоръчват киберспециалистите от SEC Consult.

Петте уязвими плъгина, за които съобщават от SEC Consult, се поддържат от пет отделни доставчици, всеки от които е отстранил собствената си грешка и е публикувал нова версия в периода август – октомври 2020 г.

Организациите трябва да са наясно, че несигурните плъгини може да представляват заплаха за механизмите за сигурност на Confluence. Затова е особено важно да подбирате внимателно и да не се предоверявате на авторите на допълнителни модули, защото сигурността на организацията е с предимство пред оптимизацията на работата.