L’avis de sécurité d’Atlassian révèle quatre nouvelles failles critiques dans les e-mails avec des liens morts.

Atlassian a envoyé un email à ses clients pour les avertir de quatre vulnérabilités critiques, mais le message contenait des erreurs de son propre chef – les liens qu’il contenait ne fonctionnaient pas pour tous les lecteurs au moment de la distribution. L’email, vu par The Register, avertit des failles classées 9.0 ou plus sur l’échelle de notation des vulnérabilités communes (CVSS) et propose un lien vers un avis. Mais ce lien était vers une page qui ne décrivait pas les vulnérabilités pertinentes, mais les CVE-2023-22518, la bête de 9,1 points classée en fin d’octobre et plus tard passée à un parfait 10/10. Les liens vers les quatre CVE mentionnés dans l’email n’ont pas non plus abouti à la page correcte pendant environ une heure – tous ont produit une erreur de Page Not Found et une suggestion selon laquelle la page a peut-être été renommée avec une autre URL qui contient les informations correctes. Atlassian nous a dit: « Il y a eu une petite erreur où des emails ont été envoyés à certains clients avec des liens brisés. Dès que nous l’avons réalisé, nous avons mis en place un contournement pour que les clients soient redirigés vers les pages appropriées. Nous présentons nos excuses à nos clients pour toute frustration causée par notre erreur ». Les URLs contiennent tous URLdefense.com – un service offert par Proofpoint. Peut-être que c’était le problème de Proofpoint.

Share the Post: