Af Eskil Sørensen, 21/06/24
Atlassian har i sin sikkerhedsbulletin for juni adresseret en række alvorlige sårbarheder i Confluence-, Crucible- og Jira-produkter.
Det skriver Security Week.
Det mest alvorlige problem er en fejl i input validering i forbindelse med adgangskontrollen i Spring Framework, som kan give uautoriserede angribere mulighed for at eksponere aktiver, som de ikke bør have adgang til. Fejlen har id’et CVE-2024-22257 og en CVSS-score på 8,2.
Der er konstateret tre fejl, der er relevante for programmer, der bruger UriComponentsBuilder til at parse en eksternt angivet URL (f.eks. gennem en forespørgselsparameter). De kan være sårbare over for omdirigering til bestemte URL's som følge af manglende inputvalidering. Det drejer sig om CVE-2024-22262, CVE-2024-22243, CVE-2024-22259, der alle har fået en CVSS-score på 8,1.
Derudover er følgende fejl:
- "Out-of-bounds Write"-sårbarhed i Apache Commons-konfiguration. CVE-2024-29131 + CVE-2024-29133 (CVSS-score 7.5)
- En sårbarhed over for "deserialisering" af ikke-pålidelige data via metoden writeReplace() i interne klasser, hvilket kan føre til DoS-angreb. CVE-2024-25647 (7,5)
- En generel fejl i Jira Service Management Data Center og Server kan potentielt føre til, at en uautoriseret ondsindet aktør kan afsløre fortrolige oplysninger. CVE-2024-21685 (7,4):
Der er endnu ingen rapporter om aktiv udnyttelse. Det anbefales at opdatere produkter i jævnfør af producentens anvisninger.
Links:
https://securityaffairs.com/164743/security/atlassian-confluence-crucible-jira-flaws.html
https://confluence.atlassian.com/security/security-bulletin-june-18-2024-1409286211.html