Atlassian bu soruna yönelik yazılım düzeltmeleri yayınladı dört kritik kusur Yazılımında, başarıyla kullanılması durumunda uzaktan kod yürütülmesine neden olabilecek bir güvenlik açığı bulunmaktadır.
Güvenlik açıklarının listesi aşağıdadır –
- CVE-2022-1471 (CVSS puanı: 9,8) – SnakeYAML kütüphanesinde birden fazla üründe uzaktan kod yürütülmesine yol açabilen seri durumdan çıkarma güvenlik açığı
- CVE-2023-22522 (CVSS puanı: 9.0) – Confluence Veri Merkezi ve Confluence Sunucusunda uzaktan kod yürütme güvenlik açığı (4.0.0 dahil ve sonrasındaki tüm sürümleri etkiler)
- CVE-2023-22523 (CVSS puanı: 9,8) – Jira Hizmet Yönetimi Bulutu, Sunucusu ve Veri Merkezi için Assets Discovery’de uzaktan kod yürütme güvenlik açığı (3.2.0-bulut / 6.2.0 veri merkezi ve sunucusu hariç olmak üzere tüm sürümleri etkiler)
- CVE-2023-22524 (CVSS puanı: 9,6) – MacOS için Atlassian Companion uygulamasında uzaktan kod yürütme güvenlik açığı (2.0.0 hariç olmak üzere tüm sürümleri etkiler)
Atlassian, CVE-2023-22522’yi, anonim erişime sahip biri de dahil olmak üzere kimliği doğrulanmış bir saldırganın, Confluence sayfasına güvenli olmayan kullanıcı girişi enjekte etmesine ve bunun sonucunda kod yürütülmesine olanak tanıyan bir şablon ekleme kusuru olarak tanımladı.
Assets Discovery kusuru, bir saldırganın Assets Discovery aracısının yüklü olduğu makinelerde ayrıcalıklı uzaktan kod yürütmesine olanak tanırken CVE-2023-22524, bir saldırganın Atlassian Companion’ın engelleme listesini ve macOS Gatekeeper korumalarını atlamak için WebSockets’i kullanarak kod yürütme gerçekleştirmesine izin verebilir.
Danışmanlık Avustralyalı yazılım şirketinden yaklaşık bir ay sonra geldi açıklığa kavuşmuş Bamboo Veri Merkezi ve Sunucu ürünlerinin tüm sürümleri, Apache ActiveMQ’da (CVE-2023-46604, CVSS puanı: 10,0) aktif olarak yararlanılan kritik bir güvenlik açığından etkilenmektedir. Düzeltmeler 9.2.7, 9.3.5 ve 9.4.1 veya üzeri sürümlerde yayımlandı.
Atlassian ürünlerinin son yıllarda kazançlı saldırı vektörleri haline gelmesiyle birlikte, kullanıcıların etkilenen kurulumları yamalı bir sürüme güncellemek için hızlı bir şekilde harekete geçmeleri önemle tavsiye edilir.