Zranitelnost ScriptRunner for Confluence Data Center
Společnost Adaptavist vydala bezpečnostní aktualizaci pro aplikaci ScriptRunner for Confluence Data Center. Aktualizace řeší dvě zranitelnosti, které mohou být zneužity uživateli s oprávněním vytvářet stránky v systému Confluence.
Dotčené produkty
| Confluence Platform | Affected Versions (pravděpodobně) | Fixed Version |
|---|---|---|
| Confluence DC 9.x (9.0.1–9.5.4) | ScriptRunner for Confluence DC ≤ 9.35.0 | ScriptRunner for Confluence DC 9.35.1 |
| Confluence DC 10.x (10.0.2–10.2.11) | ScriptRunner for Confluence DC ≤ 10.11.1 | ScriptRunner for Confluence DC 10.11.2 |
| Confluence DC 8.x (8.5.x–8.9.x) | Není uvedeno, zda je zranitelnost opravena i ve větvi 8.x | Neznámé – výrobce doporučuje migraci na Platform 9 nebo 10 |
Popis zranitelností
První zranitelnost byla nahlášena prostřednictvím programu Bug Bounty dne 19. ledna 2026. Po interním šetření bylo potvrzeno, že její zneužití vyžaduje oprávnění k vytváření stránek v Confluence.
Druhá zranitelnost byla identifikována během pravidelného bezpečnostního skenování dne 15. května 2026. Jedná se o problém v knihovně používané vestavěným makrem aplikace ScriptRunner. Také v tomto případě je pro zneužití nutné oprávnění k vytváření stránek.
Výrobce uvádí, že nebyly nalezeny žádné důkazy o aktivním zneužívání ani hlášeny žádné bezpečnostní incidenty související s těmito chybami.
Doporučené kroky
Pokud provozujete:
- Confluence 9.x → aktualizujte ScriptRunner minimálně na 9.35.1
- Confluence 10.x → aktualizujte ScriptRunner minimálně na 10.11.2
- Confluence 8.x → zvažte upgrade Confluence na Platform 9 nebo 10, protože oznámení výslovně doporučuje pouze tyto platformy.
Sdílejte