澳大利亚软件供应商 Atlassian 周二发布安全更新,以修复其 Bamboo、Confluence 和 Jira 产品中的几个高严重漏洞。
Atlassian 公司紧急呼吁关注 Bamboo 数据中心和服务器更新,以解决两个高严重性漏洞,其中一个影响 UriComponentsBuilder 依赖项的漏洞,可能允许未经身份验证的攻击者执行服务器端请求伪造 (SSRF) 攻击。
该漏洞编号为 CVE-2024-22262,影响 Bamboo Data Center 和 Bamboo Server 版本 9.0.0、9.1.0、9.2.1、9.3.0、9.4.0、9.5.0 和 9.6.0,并在 9.6.3 LTS 和 9.2.14 LTS 版本中得到解决。
Atlassian 表示,第二个漏洞编号为 CVE-2024-21687,是一个文件包含漏洞,允许攻击者“让应用程序显示本地文件的内容,或执行已在服务器本地存储的其他文件”。
该问题影响 Bamboo Data Center 和 Server 的 9.0.0、9.1.0、9.2.0、9.3.0、9.4.0、9.5.0 和 9.6.0 版本,需要身份验证才能成功利用,并已在 Bamboo Data Center 和 Server 9.6.4 LTS 和 9.2.16 LTS 版本中得到解决。
该公司还推出了针对 Confluence 数据中心和 Confluence 服务器中七个高严重性漏洞的补丁,其中五个是 Apache Commons Compress 依赖项中的拒绝服务漏洞。
Atlassian 指出:“易受攻击版本存在于 Confluence 中,但尚未被使用。因此,我们的产品本身并不易受攻击,也不存在风险。升级将转移到库的较新版本 – 但任何未来的升级都将这样做。”
这些漏洞已在 Confluence Data Center 版本 8.9.4、8.5.12 LTS 和 7.19.25 LTS 以及 Confluence Server 版本 8.5.12 LTS 和 7.19.25 LTS 中得到解决。
安全更新还解决了与捆绑 JDK 相关的十几个 CVE,但不影响 .zip/.tar.gz 发行版。第三方依赖性漏洞是在 Confluence Data Center 和 Server 7.0.1 版本中引入的。
此外,Atlassian 发布了针对存储型跨站点脚本 (XSS) 问题的修复程序,该问题可能允许经过身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。
Jira Software 数据中心和服务器以及 Jira Service Management 数据中心和服务器已更新,以解决 XStream 依赖项中的一个高严重性漏洞,该漏洞可能被利用来导致拒绝服务情况。
该漏洞的补丁编号为 CVE-2022-41966,包含在 Jira Software Data Center 和 Server 版本 9.8.0、9.12.0 LTS 和 9.4.18 LTS 中,以及 Jira Service Management Data Center 和 Server 版本 5.8.0、5.12.0 LTS 和 5.4.18 LTS 中。
Atlassian 并未提及这些漏洞是否已被利用,但建议用户尽快修补。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/rXYgc8TUQcrUntZjf8l_wA
封面来源于网络,如有侵权请联系删除