Atlassian je objavio ispravke za rešavanje tri sigurnosne greške koje utiču na njegove proizvode Confluence Server, Data Center i Bamboo Data Center, a koji bi, ako se uspješno iskoriste, mogli rezultovati daljinskim izvršavanjem koda na podložnim sistemima.
Spisak nedostataka je u nastavku:
- CVE-2023-22505 (CVSS rezultat: 8.0) – RCE (Daljinsko izvršavanje koda) u Confluence Data Centeru i Serveru (Popravljeno u verzijama 8.3.2 i 8.4.0)
- CVE-2023-22508 (CVSS rezultat: 8,5) – RCE (Daljinsko izvršenje koda) u Confluence Data Center i Server (Popravljeno u verzijama 7.19.8 i 8.2.0)
- CVE-2023-22506 (CVSS rezultat: 7,5) – Injekcija, RCE (daljinsko izvršavanje koda) u bambusu (popravljeno u verzijama 9.2.3 i 9.3.1)
CVE-2023-22505 i CVE-2023-22508 dozvoljavaju “autentifikovanom napadaču da izvrši proizvoljan kod koji ima veliki uticaj na povjerljivost, na integritet, na dostupnost i bez interakcije korisnika” saopštila je kompanija.
Dok je prva greška predstavljena u verziji 8.0.0, CVE-2023-22508 je predstavljen u verziji 7.4.0 softvera.
CVE-2023-22506, uveden u verziji 8.0.0 Bamboo Data Centra, dozvoljava “autentifikovanom napadaču da modifikuje radnje preduzete sistemskim pozivom i izvrši proizvoljni kod koji ima veliki uticaj na povjerljivost, na integritet, na dostupnost i bez interakcije korisnika” prema Atlassian-u.
Ranije ovog januara, australska kompanija je isporučila zakrpe kako bi riješila kritičnu sigurnosnu grešku u Jira Service Management Serveru i Data Centru koju bi haker mogao zloupotrijebiti da se predstavi kao drugi korisnik i dobije neovlašteni pristup osjetljivim instancama (CVE-2023-22501, CVSS rezultat: 9,4).
Sedmicama kasnije, takođe je unio ispravke za dve kritične greške u Gitu (CVE-2022-41903 i CVE-2022-23531) koje utiču na Bitbucket Server i Data Center, Bamboo Server i Data Center, Fisheye, Crucible i Sourcetree.
S obzirom da su sigurnosni propusti na Atlassian serverima postali magneti za napade posljednjih godina, preporučuje se korisnicima da brzo primjenjuju zakrpe kako bi se zaštitili od potencijalnih pretnji.
Izvor: The Hacker News