Kritisk sårbarhed i Bamboo Data Center og Server

Atlassian har patchet en kritisk 10/10-sårbarhed i sit Bamboo Data Center and Server. Dette fremgår af en sikkerhedsbulletin, der er offentliggjort den 19. marts. Ud over den kritiske sårbarhed omfatter bulletinen også orientering om 24 alvorlige sårbarheder, som er blevet rettet i de nye versioner af Atlassians-produkterne Confluence Data Center and Server og Jira Software Data Center and Server.

Den mest kritiske sårbarhed, der har id’et CVE-2024-1597, er en ”SQL Injection”-sårbarhed i et tredjepartsprodukt kaldet org.postgresql:postgresql. Dette produkt bruges af ​​Bamboo Data Center og Server og påvirker således løsningen. Sårbarheden kan føre til, at en uautoriseret ondsindet aktør kan få indsigt i de registrerede aktiver i Bamboo Data Center and Server, gennem korrekt udformede SQL forespørgsler. Forespørgslerne kræver ikke brugerinteraktion.

De berørte versioner af Bamboo Data Center and Server version er 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 og 9.5.0.

Fejlen i Confluence Data Center and Server er en DoS-fejl. Også her er der en fejl i et tredjepartsprodukt. Confluence versioner 8.8.1, 8.5.7 LTS og 7.19.20 LTS løser problemerne.

Og fejlene i Jira Software Data Center and Server omfatter 20 alvorlige sårbarheder, hvoraf nogle af dem kan uden godkendelse. De er rettet i Jira Software Data Center og Server version 9.14.1, 9.14.0, 9.12.5 LTS og 9.4.18 LTS.

Det anbefales at opdatere sårbare versioner i henhold til Atlassians anvisninger.

Der er endnu ikke rapporteret om aktiv udnyttelse.

Links:

https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html

https://www.enterprisedb.com/docs/security/assessments/cve-2024-1597/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1597