Atlassian بهروزرسانیهایی را برای رفع سه نقص امنیتی که بر محصولات Confluence Server، Data Center و Bamboo Data Center تأثیر میگذارد منتشر کرده است که در صورت سوءاستفاده موفقیتآمیز، میتواند منجر به اجرای کد از راه دور در سیستمهای حساس شود.
لیست نقص ها در زیر آمده است -
CVE-2023-22505 (امتیاز CVSS: 8.0) - RCE (اجرای کد از راه دور) در مرکز داده و سرور Confluence (در نسخه های 8.3.2 و 8.4.0 ثابت شده است)
CVE-2023-22508 (امتیاز CVSS: 8.5) - RCE (اجرای کد از راه دور) در مرکز داده و سرور Confluence (در نسخه های 7.19.8 و 8.2.0 ثابت شده است)
CVE-2023-22506 (امتیاز CVSS: 7.5) - تزریق، RCE (اجرای کد از راه دور) در Bamboo (در نسخه های 9.2.3 و 9.3.1 ثابت شده است)
این شرکت گفت: CVE-2023-22505 و CVE-2023-22508 به یک مهاجم تأیید شده اجازه می دهد تا کد دلخواه را اجرا کند که تأثیر زیادی بر محرمانگی، تأثیر زیاد بر یکپارچگی، تأثیر زیاد بر در دسترس بودن و عدم تعامل با کاربر دارد.
در حالی که اولین باگ در نسخه 8.0.0 معرفی شد، CVE-2023-22508 در نسخه 7.4.0 نرم افزار معرفی شد.
با توجه به Atlas، CVE-2023-22506، که در نسخه 8.0.0 Bamboo Data Center معرفی شده است، به یک مهاجم تأیید شده اجازه می دهد تا اقدامات انجام شده توسط یک تماس سیستمی را اصلاح کند و کد دلخواه را اجرا کند که تأثیر زیادی بر محرمانگی، تأثیر زیاد بر یکپارچگی، تأثیر زیاد بر در دسترس بودن و عدم تعامل کاربر دارد.
در اوایل ژانویه امسال، شرکت استرالیایی وصلههایی را برای رفع نقص امنیتی حیاتی در سرور مدیریت خدمات و مرکز داده Jira ارسال کرد که میتوانست توسط مهاجم برای انتقال به عنوان کاربر دیگر و دسترسی غیرمجاز به نمونههای حساس مورد سوء استفاده قرار گیرد (CVE-2023-22501، امتیاز CVSS: 9.4).
هفتهها بعد، همچنین اصلاحاتی را برای دو نقص بحرانی سرریز در Git (CVE-2022-41903 و CVE-2022-23531) که بر سرور Bitbucket و مرکز داده، سرور Bamboo و مرکز داده، Fisheye، Crucible و Sourcetree تأثیر میگذارند، ارائه کرد.
با توجه به اینکه آسیبپذیریهای امنیتی سرورهای Atlassian در سالهای اخیر به آهنربای حمله تبدیل شدهاند، توصیه میشود که کاربران به سرعت برای محافظت در برابر تهدیدات احتمالی، وصلهها را اعمال کنند.
لیست نقص ها در زیر آمده است -
CVE-2023-22505 (امتیاز CVSS: 8.0) - RCE (اجرای کد از راه دور) در مرکز داده و سرور Confluence (در نسخه های 8.3.2 و 8.4.0 ثابت شده است)
CVE-2023-22508 (امتیاز CVSS: 8.5) - RCE (اجرای کد از راه دور) در مرکز داده و سرور Confluence (در نسخه های 7.19.8 و 8.2.0 ثابت شده است)
CVE-2023-22506 (امتیاز CVSS: 7.5) - تزریق، RCE (اجرای کد از راه دور) در Bamboo (در نسخه های 9.2.3 و 9.3.1 ثابت شده است)
این شرکت گفت: CVE-2023-22505 و CVE-2023-22508 به یک مهاجم تأیید شده اجازه می دهد تا کد دلخواه را اجرا کند که تأثیر زیادی بر محرمانگی، تأثیر زیاد بر یکپارچگی، تأثیر زیاد بر در دسترس بودن و عدم تعامل با کاربر دارد.
در حالی که اولین باگ در نسخه 8.0.0 معرفی شد، CVE-2023-22508 در نسخه 7.4.0 نرم افزار معرفی شد.
با توجه به Atlas، CVE-2023-22506، که در نسخه 8.0.0 Bamboo Data Center معرفی شده است، به یک مهاجم تأیید شده اجازه می دهد تا اقدامات انجام شده توسط یک تماس سیستمی را اصلاح کند و کد دلخواه را اجرا کند که تأثیر زیادی بر محرمانگی، تأثیر زیاد بر یکپارچگی، تأثیر زیاد بر در دسترس بودن و عدم تعامل کاربر دارد.
در اوایل ژانویه امسال، شرکت استرالیایی وصلههایی را برای رفع نقص امنیتی حیاتی در سرور مدیریت خدمات و مرکز داده Jira ارسال کرد که میتوانست توسط مهاجم برای انتقال به عنوان کاربر دیگر و دسترسی غیرمجاز به نمونههای حساس مورد سوء استفاده قرار گیرد (CVE-2023-22501، امتیاز CVSS: 9.4).
هفتهها بعد، همچنین اصلاحاتی را برای دو نقص بحرانی سرریز در Git (CVE-2022-41903 و CVE-2022-23531) که بر سرور Bitbucket و مرکز داده، سرور Bamboo و مرکز داده، Fisheye، Crucible و Sourcetree تأثیر میگذارند، ارائه کرد.
با توجه به اینکه آسیبپذیریهای امنیتی سرورهای Atlassian در سالهای اخیر به آهنربای حمله تبدیل شدهاند، توصیه میشود که کاربران به سرعت برای محافظت در برابر تهدیدات احتمالی، وصلهها را اعمال کنند.