Atlassian Libera Correções Críticas de Software para Prevenir Execução Remota de Código
6 de Dezembro de 2023

A Atlassian liberou correções de software para resolver quatro falhas críticas em seu software que, se exploradas com sucesso, poderiam resultar em execução remota de código.

A lista de vulnerabilidades está abaixo:

CVE-2022-1471 (pontuação CVSS: 9.8) - Vulnerabilidade de desserialização na biblioteca SnakeYAML que pode levar à execução remota de código em vários produtos.

CVE-2023-22522 (pontuação CVSS: 9.0) - Vulnerabilidade de execução remota de código no Confluence Data Center e no Confluence Server (afeta todas as versões incluindo e após 4.0.0).

CVE-2023-22523 (pontuação CVSS: 9.8) - Vulnerabilidade de execução remota de código no Assets Discovery para Jira Service Management Cloud, Server e Data Center (afeta todas as versões até, mas não incluindo 3.2.0-cloud / 6.2.0 data center e server)

CVE-2023-22524 (pontuação CVSS: 9.6) - Vulnerabilidade de execução remota de código no aplicativo Atlassian Companion para macOS (afeta todas as versões até, mas não incluindo 2.0.0)

A Atlassian descreveu o CVE-2023-22522 como uma falha de injeção de modelo que permite a um invasor autenticado, inclusive com acesso anônimo, injetar entrada insegura de usuário em uma página do Confluence, resultando em execução de código.

A falha Asset Discovery permite a um invasor executar execução remota de códigos privilegiada em máquinas com o agente Asset Discovery instalado, enquanto o CVE-2023-22524 poderia permitir que um invasor alcançasse a execução de código utilizando WebSockets para contornar a lista de bloqueio do Atlassian Companion e as proteções do macOS Gatekeeper.

O aviso vem quase um mês depois que a empresa australiana de software revelou que todas as versões de seus produtos Bamboo Data Center e Server são impactadas por uma falha de segurança crítica ativamente explorada no Apache ActiveMQ ( CVE-2023-46604 , pontuação CVSS: 10.0).

As correções foram liberadas nas versões 9.2.7, 9.3.5 e 9.4.1 ou posterior.

Com os produtos Atlassian se tornando vetores de ataque lucrativos nos últimos anos, é altamente recomendável que os usuários se movam rapidamente para atualizar as instalações afetadas para uma versão corrigida.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...