Atlassian ha lanzado actualizaciones para abordar tres vulnerabilidades que afectan a sus productos Confluence Server, Data Center y Bamboo Data Center que, si se explotan con éxito, podrían conducir a la ejecución remota de código en sistemas vulnerables.
La lista de defectos es la siguiente:
- CVE-2023-22505 (Puntuación CVSS: 8.0) – RCE (Ejecución remota de código) en Confluence Data Center and Server (corregido en las versiones 8.3.2 y 8.4.0)
- CVE-2023-22508 (Puntuación CVSS: 8.5) – RCE (Ejecución remota de código) en Confluence Data Center and Server (corregido en las versiones 7.19.8 y 8.2.0)
- CVE-2023-22506 (Puntuación CVSS: 7.5) – Inyección, RCE (Ejecución remota de código) en Bamboo (corregido en las versiones 9.2.3 y 9.3.1)
CVE-2023-22505 y CVE-2023-22508 permiten que un «atacante autenticado ejecute código arbitrario con un alto impacto de confidencialidad, alto impacto de integridad, alto impacto de disponibilidad y sin interacción del usuario», dijo la compañía.
Si bien el primer error se introdujo en la versión 8.0.0, CVE-2023-22508 se introdujo en la versión 7.4.0 del software.
Protección contra amenazas internas: gestión de seguridad Master SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para aprender estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Únete hoy
CVE-2023-22506, introducido en Bamboo Data Center versión 8.0.0, permite que un «atacante autenticado modifique las acciones realizadas por una llamada al sistema y ejecute código arbitrario con alto impacto de confidencialidad, alto impacto de integridad, alto impacto de disponibilidad y sin interacción del usuario», según Atlassian.
A principios de enero de este año, la empresa australiana lanzó parches para abordar una vulnerabilidad crítica en el servidor de gestión de servicios y el centro de datos de Jira que podría ser aprovechada por un atacante para hacerse pasar por otro usuario y obtener acceso no autorizado a instancias vulnerables (CVE-2023-22501, puntuación CVSS: 9,4).
Semanas más tarde, también se introdujeron correcciones para dos errores críticos de desbordamiento en Git (CVE-2022-41903 y CVE-2022-23531) que afectan a Bitbucket Server and Data Center, Bamboo Server and Data Center, Fisheye, Crucible y Sourcetree.
Dado que las vulnerabilidades en los servidores de Atlassian se han convertido en imanes de ataque en los últimos años, se recomienda a los usuarios que apliquen los parches rápidamente para protegerse contra posibles amenazas.