Atlassian, Confluence Sunucusu, Veri Merkezi ve Bamboo Veri Merkezi ürünlerini etkileyen ve başarılı bir şekilde kötüye kullanılması halinde, hassas sistemlerde uzaktan kod yürütülmesine neden olabilecek üç güvenlik açığını gidermek için güncellemeler yayınladı.
Kusurların listesi aşağıdadır –
- CVE-2023-22505 (CVSS puanı: 8.0) – Confluence Veri Merkezi ve Sunucusunda RCE (Uzaktan Kod Yürütme) (8.3.2 ve 8.4.0 sürümlerinde düzeltildi)
- CVE-2023-22508 (CVSS puanı: 8.5) – Confluence Veri Merkezi ve Sunucusunda RCE (Uzaktan Kod Yürütme) (7.19.8 ve 8.2.0 sürümlerinde düzeltildi)
- CVE-2023-22506 (CVSS puanı: 7.5) – Bamboo’da Enjeksiyon, RCE (Uzaktan Kod Yürütme) (9.2.3 ve 9.3.1 sürümlerinde düzeltildi)
Şirket, CVE-2023-22505 ve CVE-2023-22508’in “kimliği doğrulanmış bir saldırganın, gizlilik üzerinde yüksek etkiye, bütünlüğe yüksek etkiye, kullanılabilirliğe yüksek etkiye sahip ve kullanıcı etkileşimi gerektirmeyen rasgele kod yürütmesine” izin verdiğini söyledi.
İlk bug 8.0.0 versiyonunda tanıtılırken, yazılımın 7.4.0 versiyonunda CVE-2023-22508 tanıtıldı.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Bamboo Data Center’ın 8.0.0 sürümünde tanıtılan CVE-2023-22506, Atlassian’a göre “kimliği doğrulanmış bir saldırganın bir sistem çağrısı tarafından gerçekleştirilen eylemleri değiştirmesine ve gizlilik üzerinde yüksek etkiye, bütünlüğe yüksek etkiye, kullanılabilirliğe yüksek etkiye ve kullanıcı etkileşimi olmadan rastgele kod yürütmesine” izin verir.
Avustralyalı şirket, bu Ocak ayının başlarında, Jira Hizmet Yönetimi Sunucusu ve Veri Merkezinde, bir saldırgan tarafından başka bir kullanıcı gibi görünmek ve hassas örneklere yetkisiz erişim elde etmek için kötüye kullanılabilecek kritik bir güvenlik açığını çözmek için yamalar gönderdi (CVE-2023-22501, CVSS puanı: 9.4).
Haftalar sonra, Bitbucket Sunucusu ve Veri Merkezi, Bamboo Sunucusu ve Veri Merkezi, Balık Gözü, Pota ve Sourcetree’yi etkileyen Git’teki iki kritik taşma hatası (CVE-2022-41903 ve CVE-2022-23531) için de düzeltmeler yaptı.
Atlassian sunucularındaki güvenlik açıklarının son yıllarda saldırı mıknatısları haline gelmesiyle, kullanıcıların potansiyel tehditlere karşı korunmak için yamaları uygulamak için hızlı hareket etmeleri önerilir.