Atlassian a libéré mises à jour pour corriger trois failles de sécurité affectant ses produits Confluence Server, Data Center et Bamboo Data Center qui, si elles sont exploitées avec succès, pourraient entraîner l’exécution de code à distance sur des systèmes sensibles.
La liste des défauts est ci-dessous –
- CVE-2023-22505 (Score CVSS : 8.0) – RCE (Remote Code Execution) dans Confluence Data Center and Server (Corrigé dans les versions 8.3.2 et 8.4.0)
- CVE-2023-22508 (score CVSS : 8,5) – RCE (Remote Code Execution) dans le centre de données et le serveur Confluence (corrigé dans les versions 7.19.8 et 8.2.0)
- CVE-2023-22506 (score CVSS : 7,5) – Injection, RCE (Remote Code Execution) dans Bamboo (Corrigé dans les versions 9.2.3 et 9.3.1)
CVE-2023-22505 et CVE-2023-22508 permettent à un « attaquant authentifié d’exécuter du code arbitraire qui a un impact élevé sur la confidentialité, un impact élevé sur l’intégrité, un impact élevé sur la disponibilité et aucune interaction de l’utilisateur », a déclaré la société.
Alors que le premier bogue a été introduit dans la version 8.0.0, CVE-2023-22508 a été introduit dans la version 7.4.0 du logiciel.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
CVE-2023-22506, introduit dans la version 8.0.0 de Bamboo Data Center, permet à un « attaquant authentifié de modifier les actions entreprises par un appel système et d’exécuter du code arbitraire qui a un impact élevé sur la confidentialité, un impact élevé sur l’intégrité, un impact élevé sur la disponibilité et aucune interaction de l’utilisateur », selon Atlassian.
Plus tôt en janvier, la société australienne a envoyé des correctifs pour résoudre une faille de sécurité critique dans Jira Service Management Server et Data Center qui pourrait être exploitée par un attaquant pour se faire passer pour un autre utilisateur et obtenir un accès non autorisé à des instances sensibles (CVE-2023-22501, score CVSS : 9,4).
Quelques semaines plus tard, il a également déployé des correctifs pour deux failles critiques de débordement dans Git (CVE-2022-41903 et CVE-2022-23531) affectant Bitbucket Server et Data Center, Bamboo Server et Data Center, Fisheye, Crucible et Sourcetree.
Les vulnérabilités de sécurité des serveurs Atlassian étant devenues des aimants d’attaque ces dernières années, il est recommandé aux utilisateurs d’appliquer rapidement les correctifs pour se protéger contre les menaces potentielles.