Atlassian, kullanıcıları güncel olmayan Confluence veri merkezi ve sunucu ortamları konusunda, kritik dereceli bir güvenlik açığını düzeltmek için güncel bir sürüme güncellemeleri gerektiği konusunda uyarıyor.
CVE-2023-22527, CVSS puanı 10’dur ve kimliği doğrulanmamış saldırgana uzaktan kod yürütme (RCE) yeteneği sağlayan bir şablon enjeksiyon güvenlik açığıdır.
Güvenlik açığının “düzenli güncellemeler sırasında nihai olarak hafifletilmesi” nedeniyle desteklenen son sürümler etkilenmemektedir.
Etkilenen sürümler 5 Aralık 2023’ten önce yayınlandı ve 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x ve 8.5.0-8.5.3’ü içeriyor.
Hata, Confluence veri merkezi ve sunucu sürümü 8.5.5’te (LTS) düzeltildi; ve Confluence veri merkezinde 8.7.2.
Şirket dün ayrıca 28 yüksek dereceli güvenlik açığını kapsayan bir güvenlik bülteni yayınladı.
Bitbucket ve Bamboo’nun veri merkezi ve sunucu sürümlerinde 14 hizmet reddi hatası düzeltildi; Crowd ve Bamboo’daki bilgilerin ifşa edilmesine yönelik güvenlik açıkları; Bambu ve Confluence’da altı RCE; Bitbucket, Bamboo, Crowd ve Jira yazılımlarında kullanılan Apache bileşenlerindeki kaçakçılık güvenlik açıklarını talep etmek; Jira hizmet yönetiminde sunucu tarafı istek sahteciliği güvenlik açığı; ve Jira yazılımında bir XML harici varlık ekleme hatası.