Višestruke ranjivosti u Atlassian proizvodima

Dana 19. ožujka 2024., tvrtka Atlassian objavila je sigurnosno upozorenje u kojem su adresirane 24 ranjivosti visoke i kritične razine, među kojima se ističe ranjivost kritične razine rizika u Bamboo Data Center/Serveru te ranjivost visoke razine rizika u Confluence Data Centeru i Serveru.
Preporučuje se žurno ažuriranje ranjivih proizvoda.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 
  • Ranjivost CVE-2024-1597 (CVSS ocjena 10.0) predstavlja ranjivost SQL umetanja (engl. SQL Injection - SQLi) koja omogućava neovlaštenom napadaču otkrivanje resursa u ranjivoj okolini.
  • Ranjivost CVE-2024-21677 (CVSS ocjena 8.3) omogućava neovlaštenom napadaču iskorištavanje ranjivost pristupanja putanjom (engl. Path Traversal) te zahtijeva korisničku interakciju.
Preostalih 22 ranjivosti ima CVSS ocjenu 7.5 i mogu dovesti do uvjeta uskraćivanja usluge (engl. Denial of Service - DoS), udaljenog izvršavanja kôda (engl. remote code execution - RCE) ili Server-Side Request Forgery (SSRF) napad na ranjivom proizvodu.

Zahvaćeni proizvodi:
  • Bamboo Data Center i Server;
  • Bitbucket Data Center i Server;
  • Confluence Data Center i Server;
  • Jira Software Data Center i Server.
Potpuni popis zahvaćenih i ispravljenih verzija se može pronaći u službenom sigurnosnom upozorenju proizvođača.

Preporuke: 
Preporučuje se žurna nadogradnja ranjivih Atlassian proizvoda na najnoviju dostupnu inačicu.

Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 20.3.2024 - 15:27]