Kritische Schadcode-Lücke in Wiki-Software Confluence geschlossen

IT-Sicherheit

Eine kritische Confluence Schadcode-Lücke (CVE-2021-26084) in Atlassian Confluence Server und Data Center ermöglicht Angreifern das Ausführen von beliebigem Code. Betroffene Administratoren sollten sofort das verfügbare Sicherheitsupdate einspielen.

Kritische Schadcode-Lücke in Wiki-Software Confluence geschlossen

Es gibt ein wichtiges Sicherheitsupdate für Confluence von Atlassian. Angreifer könnten System vollständig kompromittieren.

Admins der Wiki-Software Confluence Server und Data Center sollten aufgrund einer als „kritisch“ eingestuften Sicherheitslücke eine aktuelle mit einem Sicherheitspatch versehene Version installieren.

Mit und ohne Authentifizierung

Durch das erfolgreiche Ausnutzen der Lücke (CVE-2021-26084) könnten Angreifer eigenen Code auf Systemen ausführen. In so einem Fall wären sie in der Lage, etwa einen Erpressungstrojaner auf Systeme zu bringen oder eine Hintertür für spätere Zugriffe zu platzieren.

Einer Warnmeldung von Atlassian zufolge findet sich die Schwachstelle in Confluence Server Webwork OGNL. Wie Attacken ablaufen könnten und ob es bereits Angriffe gibt, ist bislang unbekannt. In der Meldung steht nur, dass erfolgreiche Attacken in den meisten Fällen eine Authentifizierung voraussetzen.

https://www.heise.de/news/Kritische-Schadcode-Luecke-in-Wiki-Software-Confluence-geschlossen-6175933.html

Confluence Schadcode-Lücke CVE-2021-26084 – Technische Details

Die Confluence Schadcode-Lücke CVE-2021-26084 steckt im Confluence Server Webwork OGNL-Interpreter. Die Schwachstelle erlaubt es Angreifern, auch ohne Authentifizierung eigenen Schadcode auszuführen. Betroffen sind alle Confluence Server- und Data-Center-Instanzen unterhalb der gepatchten Versionen.

Welche Versionen sind betroffen?

Confluence Server und Data Center vor Version 6.13.23
Confluence Server und Data Center ab Version 6.14.0 vor 7.4.11
Confluence Server und Data Center ab Version 7.5.0 vor 7.11.6
Confluence Server und Data Center ab Version 7.12.0 vor 7.12.5

Sofortmaßnahmen gegen die Confluence Schadcode-Lücke

Atlassian empfiehlt dringend das sofortige Update auf eine der bereitgestellten gepatchten Versionen. Alternativ kann als temporäre Maßnahme die Confluence Server-Instanz vom Internet getrennt werden, bis das Update eingespielt ist. Öffentlich erreichbare Confluence-Instanzen sind besonders gefährdet, da bereits Exploit-Code in Umlauf ist.

Als IT-Dienstleister in Düsseldorf unterstützen wir Sie bei der schnellen Umsetzung kritischer Sicherheitspatches. Kontaktieren Sie uns bei Fragen zu betroffenen Systemen in Ihrem Unternehmen.

Unser Service zu diesem Thema

Als IT-Dienstleister in Düsseldorf unterstützen wir Sie professionell:

TEILE DIESEN NEWSBEITRAG

Urteil: Acer und Asus dürfen in Deutschland keine PCs mehr verkaufen

14. Februar 2026 Keine Kommentare

Das Urteil Acer Asus des Landgerichts München I zieht weite Kreise: Beide Hersteller haben den Verkauf von PCs und Laptops in Deutschland vorübergehend eingestellt. Hintergrund

DATEV-Programme 19.0/19.01 und DATEV Mittelstand 14.2 – Jetzt vorbereiten und frühzeitig handeln!

13. Juli 2025 Keine Kommentare

Mit DATEV Mittelstand 14.2 und den DATEV-Programmen 19.0/19.01 stehen im Sommer 2025 wichtige Updates an. Unternehmen und Steuerberater, die DATEV nutzen, sollten sich frühzeitig vorbereiten,

Microsoft patcht kritische Office-Schwachstelle, vor der das BSI warnt

13. Juli 2025 Keine Kommentare

Die Microsoft Office Schwachstelle BSI-Warnung vom Juli 2025 betrifft Unternehmen, die Office-Produkte im Einsatz haben. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt dringend, die

Warnung vor Kaspersky-Virenschutzsoftware

19. März 2022 Keine Kommentare

Warnung vor Kaspersky-Virenschutzsoftware Das BSI empfahl am 15.03.2022, Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen. Securepoint übernimmt kostenfrei die laufenden Verträge von Kaspersky.

Windows 11: Insider Build bringt Microsoft-Konto-Pflicht für Pro-Edition

20. Februar 2022 Keine Kommentare

Windows 11: Insider Build bringt Microsoft-Konto-Pflicht für Pro-Edition In Windows 11 Insider Preview Build 22557 führt Microsoft eine obligatorische Online-Verbindung und ein Microsoft-Konto auch für

Securepoint: Studie Cyber Security 2021

6. Januar 2022 Keine Kommentare

Studie Cyber Security Die Bedrohungslage ist angespannt. Securepoint: Studie Cyber Security 2021. Ob Supply Chain-Angriffe, Zero Day-Exploits wie die Aktivitäten der Hafnium Gruppe oder gezielte

Kritische Schadcode-Lücke in Wiki-Software Confluence geschlossen

Kritische Schadcode-Lücke in Wiki-Software Confluence geschlossen

Mit und ohne Authentifizierung

Confluence Schadcode-Lücke CVE-2021-26084 – Technische Details

Sofortmaßnahmen gegen die Confluence Schadcode-Lücke

Unser Service zu diesem Thema

TEILE DIESEN NEWSBEITRAG

Weitere Artikel

Urteil: Acer und Asus dürfen in Deutschland keine PCs mehr verkaufen

DATEV-Programme 19.0/19.01 und DATEV Mittelstand 14.2 – Jetzt vorbereiten und frühzeitig handeln!

Microsoft patcht kritische Office-Schwachstelle, vor der das BSI warnt

Warnung vor Kaspersky-Virenschutzsoftware

Windows 11: Insider Build bringt Microsoft-Konto-Pflicht für Pro-Edition

Securepoint: Studie Cyber Security 2021

Kontakt

Leistungen

Sitemap

Tätig in

Teamviewer Download

Desktop Versionen

Mobile Versionen