A Atlassian Lança Correções Para Falhas Críticas no Confluence e Bamboo
25 de Julho de 2023

A Atlassian lançou atualizações para corrigir três falhas de segurança que afetam seus produtos Confluence Server, Data Center e Bamboo Data Center.

Se bem-sucedidas, essas vulnerabilidades podem resultar na execução remota de código em sistemas suscetíveis.

A lista das falhas é a seguinte -

- CVE-2023-22505 (pontuação CVSS: 8.0) - Execução remota de código (RCE) no Confluence Data Center e Server (Corrigido nas versões 8.3.2 e 8.4.0).
- CVE-2023-22508 (pontuação CVSS: 8.5) - Execução remota de código (RCE) no Confluence Data Center e Server (Corrigido nas versões 7.19.8 e 8.2.0).
- CVE-2023-22506 (pontuação CVSS: 7.5) - Injeção, Execução remota de código (RCE) no Bamboo (Corrigido nas versões 9.2.3 e 9.3.1).

CVE-2023-22505 e CVE-2023-22508 permitem que um "atacante autenticado execute código arbitrário que tem alto impacto na confidencialidade, alto impacto na integridade, alto impacto na disponibilidade e sem interação do usuário", disse a empresa.

Enquanto o primeiro bug foi introduzido na versão 8.0.0, o CVE-2023-22508 foi introduzido na versão 7.4.0 do software.

CVE-2023-22506 , introduzido na versão 8.0.0 do Bamboo Data Center, permite que um "atacante autenticado modifique as ações realizadas por uma chamada de sistema e execute código arbitrário que tem alto impacto na confidencialidade, alto impacto na integridade, alto impacto na disponibilidade e sem interação do usuário", de acordo com a Atlassian.

No início de janeiro deste ano, a empresa australiana enviou patches para resolver uma falha crítica de segurança no Jira Service Management Server e Data Center que poderia ser explorada por um agressor para se passar por outro usuário e obter acesso não autorizado a instâncias suscetíveis ( CVE-2023-22501 , pontuação CVSS: 9.4).

Semanas depois, também lançou correções para duas falhas críticas de overflow no Git ( CVE-2022-41903 e CVE-2022-23531 ) que afetam o Bitbucket Server e Data Center, Bamboo Server e Data Center, Fisheye, Crucible e Sourcetree.

Com as vulnerabilidades de segurança nos servidores Atlassian se tornando alvos de ataque nos últimos anos, é recomendado que os usuários se apressem para aplicar os patches para se proteger contra ameaças potenciais.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...