Af Eskil Sørensen, 25/09/23
Atlassian har i sidste uge oplyst, at der er patches tilgængelige til fire alvorlige sårbarheder, der påvirker dets Jira-, Confluence-, Bitbucket- og Bamboo-produkter. Det skriver Security Week.
Den mest alvorlige fejl har id’et CVE-2023-22513 og en CVSS-score på 8,5. Det er en remote code execution-fejl i Bitbucket, som en autentificeret angriber kan udnytte uden brugerinteraktion. Fejlen påvirker de fleste udgivelser indtil version 8.14.0. Bitbucket-versioner 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1, 8.14.0 og nyere adresserer denne sårbarhed.
Den anden fejl er et denial-of-service (DoS)-problem i Confluence Data Center og Server-produkterne. Den har id’et CVE-2023-22512 og en CVSS-score på 7,5. Fejlen påvirker produktets udgivelser til og med 8.5.0. Fejlen er rettet med udgivelsen af Confluence-versionerne 7.19.14 og 8.5.1.
Den tredje sårbarhed, CVE-2023-28709 (CVSS-score på 7,5) findes i Bamboo og kan udnyttes af en angriber til at afsløre aktiver i miljøet, der er modtagelige for udnyttelse, skriver Security Week med henvisning til Atlassians advisory.
Fejlen blev introduceret i Bamboo version 8.1.12, men er blevet rettet i Bamboo version 9.2.4 og 9.3.1. Brugere af ældre versioner af produktet rådes til at opdatere til en patchet iteration.
Endelig er der opdateringer til Jira. Det er en fejl til håndtering af patch, der tillader en angriber at afsløre aktiver for yderligere udnyttelse. Sårbarheden har id’et CVE-2022-25647 (CVSS-score på 7,5). Den er set i Jira version 4.20.0 og blevet rettet udgivelsen af version 4.20.25, 5.4.9, 5.9.2, 5.10.1 og 5.11.0.
Det fremgår ikke, om sårbarhederne bliver udnyttet i ondsindede angreb.
Links:
https://www.securityweek.com/atlassian-security-updates-patch-high-severity-vulnerabilities/