Критическая уязвимость в сторонних компонентах угрожает Confluence: Atlassian выпускает экстренные обновления

Компания Atlassian выпустила масштабный пакет обновлений безопасности для своих корпоративных продуктов Confluence Data Center и Confluence Server, устраняющий более десятка уязвимостей во внешних зависимостях. В центре внимания - критическая ошибка CVE-2022-1471 в библиотеке SnakeYaml, позволяющая удалённое выполнение кода, однако общий риск для пользователей Confluence компания оценивает как более низкий. Между тем, совокупность других недостатков, включая обход путей и уязвимости, ведущие к отказу в обслуживании, создаёт значительную угрозу для корпоративных сред, использующих эти платформы для совместной работы и управления знаниями.

Детали уязвимостей

Обновления затрагивают широкий спектр версий Confluence, включая как долгосрочные поддерживаемые выпуски (LTS), так и более новые. В частности, исправления выпущены для версий от 8.9.1 до 10.2.7. Для пользователей Confluence Data Center Atlassian настоятельно рекомендует немедленно обновиться до версий 10.2.10 (LTS) или 9.2.19 (LTS), которые содержат полный набор исправлений. Примечательно, что все обнаруженные уязвимости находятся не в кодовой базе самого продукта Atlassian, а во внешних библиотеках и компонентах, которые Confluence использует для различных функций, таких как обработка архивов, парсинг YAML, работа с HTTP/2 и валидация данных. Этот случай ярко иллюстрирует современные риски цепочки поставок программного обеспечения (software supply chain), когда безопасность крупного корпоративного приложения напрямую зависит от сторонних компонентов с открытым исходным кодом.

Наиболее серьёзной с технической точки зрения является уязвимость CVE-2022-1471 в библиотеке SnakeYaml, которая используется для обработки данных в формате YAML. Проблема кроется в классе "Constructor", который при десериализации (процессе восстановления объектов из потока данных) не ограничивает типы создаваемых объектов. В результате, обработав специально сформированное злоумышленником содержимое YAML, атакующий может добиться выполнения произвольного кода на сервере. Эксперты по безопасности отмечают, что подобные уязвимости в библиотеках сериализации исторически использовались для построения сложных цепочек эксплуатации. Однако, как подчёркивает Atlassian, контекст использования этой библиотеки в Confluence снижает эксплуатационный потенциал ошибки, не делая её тривиальной для использования.

Отдельного внимания заслуживает целая серия проблем в библиотеке "node-tar", предназначенной для работы с TAR-архивами в среде Node.js. Уязвимости, такие как CVE-2026-23950 (обход путей через состояние гонки), CVE-2026-24842 и CVE-2026-26960 (произвольная запись файлов), позволяют злоумышленнику, предоставившему вредоносный архив, обойти ограничения на извлечение и записать или прочитать файлы за пределами целевого каталога. Особенность CVE-2026-23950 заключается в эксплуатации состояний гонки (race condition) на файловых системах, нечувствительных к регистру или нормализации Юникода, например, APFS в macOS. Библиотека некорректно обрабатывала коллизии путей для символов вроде "ß" и "ss", что позволяло обойти внутренние механизмы блокировок и провести атаку на отравление символьных ссылок (Symlink Poisoning).

Ещё один блок уязвимостей затрагивает сетевой фреймворк Netty. Ошибка CVE-2026-33871 позволяет удалённому злоумышленнику вызвать отказ в обслуживании, отправив на сервер, использующий протокол HTTP/2, поток фреймов "CONTINUATION". Отсутствие лимита на их количество приводит к чрезмерному потреблению процессорных ресурсов. Схожая по механизму, но иная по сути проблема CVE-2026-33870 связана с некорректным разбором строк в расширениях chunked transfer encoding протокола HTTP/1.1, что открывает возможность для атак на подмену HTTP-запросов (HTTP Request Smuggling). Эти уязвимости особенно опасны для публично доступных экземпляров Confluence.

Для организаций, использующих уязвимые версии Confluence, риски носят комплексный характер. Успешная эксплуатация RCE-уязвимости (CVE-2022-1471) может привести к полному компрометированию сервера, установке программ-вымогателей (ransomware) или скрытому закреплению в системе (persistence) для последующего шпионажа. Уязвимости в "node-tar" создают риск несанкционированного доступа к конфиденциальным данным, хранящимся на том же сервере, или повреждения системных файлов, что может вызвать простои. Атаки на отказ в обслуживании способны парализовать работу команд, зависящих от Confluence, что напрямую ударит по продуктивности и бизнес-процессам.

Стоит отметить, что оценки серьёзности (CVSS) для некоторых уязвимостей, предоставленные Национальным институтом стандартов и технологий США (NIST) и организациями, присвоившими идентификаторы (CNA), различаются. Например, для CVE-2022-1471 NVD (National Vulnerability Database) присвоил рейтинг 9.8 (критический), в то время как Google оценил его в 8.3 (высокий). Эти расхождения часто связаны с разным восприятием контекста эксплуатации и требуют от специалистов по информационной безопасности самостоятельного анализа приоритетов в зависимости от конкретной конфигурации.

Ситуация с Confluence демонстрирует возросшую важность управления зависимостями в жизненном цикле разработки программного обеспечения (SDLC). Компаниям необходимо не только оперативно применять обновления от вендоров, но и иметь полную картину всех сторонних компонентов, используемых в их инфраструктуре. Администраторам Confluence Data Center и Server настоятельно рекомендуется немедленно установить предоставленные патчи. В качестве временной меры для компонентов, где это применимо (например, для "node-tar"), можно рассмотреть рекомендации разработчиков библиотек, такие как фильтрация записей с символьными ссылками при распаковке ненадёжных архивов. Однако полное обновление до рекомендованных Atlassian версий остаётся единственным надёжным способом устранения всего спектра выявленных угроз и защиты корпоративных данных от потенциально разрушительных атак.

Детали уязвимостей

Ссылки