Atlassian, Confluence Veri Merkezi ve Confluence Sunucusunda bir şablon enjeksiyon güvenlik açığı olan CVE-2023-22522 için bir düzeltmeyle başta olmak üzere çeşitli kritik güvenlik açıkları için yamalar yayınladı.
Güvenlik açığı, bir saldırganın “bir Confluence sayfasına güvenli olmayan kullanıcı girişi eklemesine” olanak tanıyor ve saldırgana etkilenen bir örnek üzerinde uzaktan kod yürütme (RCE) olanağı sağlıyor.
Confluence Data Center ve Server’ın 4.0.0 sürümünden sonraki tüm sürümlerini etkiler ve kullanıcıların sabit bir sürüme yükseltme yapması gerekir.
Başka bir yerde satıcı, CVE-2023-22524’ün MacOS için Atlassian Companion Uygulamasındaki bir RCE olduğunu belirtti.
Tavsiye belgesi, bir saldırganın WebSockets’i “Atlassian Companion’ın engellenenler listesini atlamak için ve MacOS Gatekeeper’ı kodun yürütülmesine izin vermek için kullanabileceğini” açıkladı.
CVE-2023-22523, Jira Hizmet Yönetimi Bulutu, Sunucusu ve Veri Merkezindeki Varlık Keşfi’nde kritik dereceli bir hatadır.
Danışman, saldırgana ayrıcalıklı RCE verdiğini belirterek, “Güvenlik açığı Assets Discovery uygulaması (eski adıyla Insight Discovery) ile Assets Discovery aracısı arasında mevcut” dedi.
Son olarak CVE-2022-1471, SnakeYAML kütüphanesindeki birden fazla Atlassian ürününde kullanılan bir RCE seri durumdan çıkarma hatasıdır.
Bunlar Jira için Otomasyonu ve çeşitli BitBucket, Confluence ve Jira yapılandırmalarını içerir. Etkilenen sürümler için yamalar mevcuttur.