Atlassian a publié des correctifs logiciels pour résoudre quatre défauts critiques dans son logiciel qui, s’il était exploité avec succès, pourrait entraîner l’exécution de code à distance.
La liste des vulnérabilités est ci-dessous –
- CVE-2022-1471 (score CVSS : 9,8) – Vulnérabilité de désérialisation dans la bibliothèque SnakeYAML pouvant conduire à l’exécution de code à distance dans plusieurs produits
- CVE-2023-22522 (score CVSS : 9,0) – Vulnérabilité d’exécution de code à distance dans Confluence Data Center et Confluence Server (affecte toutes les versions, y compris et après 4.0.0)
- CVE-2023-22523 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance dans Assets Discovery pour Jira Service Management Cloud, Server et Data Center (affecte toutes les versions jusqu’à la version 3.2.0-cloud / 6.2.0 du centre de données et du serveur non compris)
- CVE-2023-22524 (score CVSS : 9,6) – Vulnérabilité d’exécution de code à distance dans l’application Atlassian Companion pour macOS (affecte toutes les versions jusqu’à la 2.0.0 non incluse)
Atlassian a décrit CVE-2023-22522 comme une faille d’injection de modèle qui permet à un attaquant authentifié, y compris un attaquant disposant d’un accès anonyme, d’injecter une entrée utilisateur non sécurisée dans une page Confluence, entraînant ainsi l’exécution de code.
La faille Assets Discovery permet à un attaquant d’exécuter du code à distance privilégié sur des machines sur lesquelles l’agent Assets Discovery est installé, tandis que CVE-2023-22524 pourrait permettre à un attaquant d’exécuter du code en utilisant WebSockets pour contourner la liste de blocage d’Atlassian Companion et les protections macOS Gatekeeper.
L’avis intervient près d’un mois après que l’éditeur de logiciels australien révélé toutes les versions de ses produits Bamboo Data Center et Server sont impactées par une faille de sécurité critique activement exploitée dans Apache ActiveMQ (CVE-2023-46604, score CVSS : 10.0). Des correctifs ont été publiés dans les versions 9.2.7, 9.3.5 et 9.4.1 ou ultérieures.
Les produits Atlassian étant devenus des vecteurs d’attaque lucratifs ces dernières années, il est fortement recommandé aux utilisateurs d’agir rapidement pour mettre à jour les installations concernées vers une version corrigée.