Atlassian tiene liberado actualizaciones para abordar tres fallas de seguridad que afectan sus productos Confluence Server, Data Center y Bamboo Data Center que, si se explotan con éxito, podrían resultar en la ejecución remota de código en sistemas susceptibles.
La lista de los defectos está a continuación:
- CVE-2023-22505 (Puntuación CVSS: 8.0) – RCE (Ejecución remota de código) en Confluence Data Center and Server (corregido en las versiones 8.3.2 y 8.4.0)
- CVE-2023-22508 (Puntuación CVSS: 8.5) – RCE (Ejecución remota de código) en Confluence Data Center and Server (corregido en las versiones 7.19.8 y 8.2.0)
- CVE-2023-22506 (Puntuación CVSS: 7.5) – Inyección, RCE (Ejecución remota de código) en Bamboo (corregido en las versiones 9.2.3 y 9.3.1)
CVE-2023-22505 y CVE-2023-22508 permiten que un «atacante autenticado ejecute código arbitrario que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, un alto impacto en la disponibilidad y ninguna interacción con el usuario», dijo la compañía.
Si bien el primer error se introdujo en la versión 8.0.0, CVE-2023-22508 se introdujo en la versión 7.4.0 del software.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
CVE-2023-22506, introducido en la versión 8.0.0 de Bamboo Data Center, permite que un «atacante autenticado modifique las acciones realizadas por una llamada al sistema y ejecute código arbitrario que tiene un alto impacto en la confidencialidad, alto impacto en la integridad, alto impacto en la disponibilidad y sin interacción con el usuario», según Atlassian.
A principios de enero, la empresa australiana envió parches para resolver una falla de seguridad crítica en Jira Service Management Server and Data Center que un atacante podría abusar para hacerse pasar por otro usuario y obtener acceso no autorizado a instancias susceptibles (CVE-2023-22501, puntaje CVSS: 9.4).
Semanas después, también implementó correcciones para dos fallas críticas de desbordamiento en Git (CVE-2022-41903 y CVE-2022-23531) que afectan a Bitbucket Server and Data Center, Bamboo Server and Data Center, Fisheye, Crucible y Sourcetree.
Con las vulnerabilidades de seguridad en los servidores de Atlassian convirtiéndose en imanes de ataque en los últimos años, se recomienda que los usuarios se muevan rápidamente para aplicar los parches para protegerse contra amenazas potenciales.