Компания Atlassian выпустила внеочередные обновления безопасности для платформы Confluence Data Center и Server. Эти патчи закрывают сразу восемь уязвимостей, одна из которых получила критическую оценку опасности - 9,1 балла по шкале CVSS. Обновление затронуло практически все актуальные ветки продукта, включая версии с долгосрочной поддержкой.
Стоит подчеркнуть, что Confluence остаётся одним из наиболее распространённых инструментов для совместной работы внутри корпораций. По этой причине любая уязвимость в этой системе может привести к масштабным последствиям - от утечки конфиденциальных документов до полного нарушения бизнес-процессов. Теперь же исследователи и вендор подтвердили, что проблема затронула не только сам Confluence, но и его ключевые зависимости, в первую очередь Apache Tomcat.
Что именно исправлено
Наиболее опасной стала уязвимость CVE-2026-29145. Она получила оценку 9,1 балла и относится к классу BASM (нарушение аутентификации и управления сессиями). Суть проблемы в том, что механизм аутентификации CLIENT_CERT на основе сертификатов не отрабатывал корректно при определённых сценариях. Атакующий мог обойти проверку подлинности, не имея на то законных прав. При этом Atlassian отметила, что их реализация данной зависимости снижает общий риск, но всё же рекомендует установить патч.
Следующие шесть уязвимостей имеют высокий уровень опасности - 7,5 балла. Среди них выделяется CVE-2026-34487, связанная с утечкой токенов Kubernetes в логи. Если злоумышленник получал доступ к журналам, он мог извлечь токен для управления кластером контейнеризации. Это особенно критично для крупных организаций, использующих микросервисную архитектуру.
Другая уязвимость - CVE-2026-29146 - также относится к классу утечки информации. Она представляет собой уязвимость типа "Padding Oracle" в компоненте EncryptInterceptor Apache Tomcat. При стандартных настройках злоумышленник мог расшифровать защищённые данные, передаваемые между узлами кластера.
Не обошлось и без проблем с отказом в обслуживании. CVE-2026-29062 затрагивает библиотеку jackson-core. При обработке специально сформированного JSON-документа с чрезмерной вложенностью возникал стековый переполнение - StackOverflowError. Это приводило к зависанию системы. Аналогичная DoS-уязвимость CVE-2026-33750 обнаружена в библиотеке brace-expansion и вызывалась некорректным шаблоном в фигурных скобках.
Отдельного внимания заслуживает CVE-2026-24880 - уязвимость типа HTTP Request/Response Smuggling (контрабанда HTTP-запросов). Она позволяла манипулировать трафиком между сервером и клиентом через некорректный формат chunk-расширений. В результате атакующий мог, например, перенаправить пользователя на вредоносный сайт или получить доступ к сессиям.
CVE-2026-34483 - некорректное экранирование вывода в компоненте JsonAccessLogValve. Ошибка позволяла злоумышленнику внедрять вредоносные данные в логи и затем извлекать их.
И наконец, CVE-2026-24734 - проблема с проверкой сертификатов OCSP в Apache Tomcat Native. Атакующий мог подменить отозванный сертификат и пройти аутентификацию. Оценка этой уязвимости - 7,5 балла.
Какие версии в зоне риска
Под угрозой оказались почти все поддерживаемые версии Confluence Data Center и Server. Среди них ветки с долгосрочной поддержкой - 10.2.0-10.2.10, 9.2.0-9.2.19, а также более старые выпуски: 10.1.0-10.1.2, 10.0.2-10.0.3, 9.5.1-9.5.4, 9.4.0-9.4.1, 9.3.1-9.3.2, 9.1.0-9.1.1, 9.0.1-9.0.3 и 8.9.2-8.9.8. Важно, что для версий 10.2.11 и 9.2.20 обновление выпущено только для редакции Data Center.
Почему это важно для бизнеса
Confluence - это не просто вики-система. Она часто содержит внутренние документы, архитектурные схемы, пароли в описаниях, планы разработки. Утечка такого материала способна нанести серьёзный ущерб репутации и бизнесу. Кроме того, DoS-атаки способны парализовать работу целых отделов, особенно в компаниях, где Confluence является единственным хранилищем документации.
Все обнаруженные уязвимости эксплуатируются удалённо без аутентификации. Это означает, что злоумышленнику не нужно иметь доступ к системе - достаточно отправить специально сформированный запрос через интернет. Поэтому каждая организация, использующая уязвимые версии, должна как можно быстрее установить патчи.
Что делать
Специалистам по информационной безопасности и администраторам Confluence настоятельно рекомендуется обновить систему до версий 10.2.11 или 9.2.20 для Data Center. Для редакции Server подойдут корректирующие версии, указанные в официальном бюллетене Atlassian. Также следует обновить зависимости Apache Tomcat до версий 11.0.21, 10.1.54 или 9.0.117.
Если обновление невозможно в краткосрочной перспективе, эксперты советуют временно ограничить доступ к Confluence через межсетевые экраны и web-приложение фаерволов (WAF). Кроме того, имеет смысл усилить мониторинг системных журналов на предмет необычных запросов.
В условиях постоянного роста числа атак на корпоративные платформы, игнорирование таких обновлений может стоить компании не только данных, но и доверия клиентов. Установка патчей - это не просто рекомендация, а необходимость для сохранения устойчивости инфраструктуры.
Ссылки
- https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-24734
- https://nvd.nist.gov/vuln/detail/CVE-2026-33750
- https://nvd.nist.gov/vuln/detail/CVE-2026-34483
- https://nvd.nist.gov/vuln/detail/CVE-2026-24880
- https://nvd.nist.gov/vuln/detail/CVE-2026-29146
- https://nvd.nist.gov/vuln/detail/CVE-2026-34487
- https://nvd.nist.gov/vuln/detail/CVE-2026-29062
- https://nvd.nist.gov/vuln/detail/CVE-2026-29145
