Atlassian, çeşitli tekliflerinde rastgele kod çalıştırmak için kullanılabilecek dört kritik güvenlik açığına (CVE-2023-1471, CVE-2023-22522, CVE-2023-22524, CVE-2023-22523) yönelik güvenlik güncellemeleri yayınladı.
Güvenlik açıkları hakkında
CVE-2022-1471, Java için SnakeYAML kitaplığında bulunan ve uzaktan kod yürütülmesine (RCE) yol açabilen bir seri durumdan çıkarma hatasıdır.
Automation for Jira uygulamasını (Server Lite sürümü dahil), Bitbucket Veri Merkezi, Bitbucket Sunucusu, Confluence Veri Merkezi, Confluence Sunucusu, Confluence Cloud, Geçiş Uygulaması, Jira Core Veri Merkezi, Jira Core Sunucusu, Jira Hizmet Yönetimi Veri Merkezi, Jira Hizmeti’ni etkiler Yönetim Sunucusu, Jira Yazılım Veri Merkezi ve Jira Yazılım Sunucusu.
Diğer üç güvenlik açığı da RCE’ye izin veriyor ve aşağıdaki ürünleri etkiliyor:
Şirket, güvenlik açıklarından yararlanılıp yararlanılmadığını söylemiyor ancak kullanıcıların mümkün olan en kısa sürede sabit sürümlere yükseltme yapmalarını tavsiye ediyor.
Hemen yama yapamayan kullanıcılar için CVE-2023-22522, CVE-2023-22524 ve CVE-2023-22523 için geçici azaltımlar mevcuttur.
Yakın zamanda istismar edilen Atlassian güvenlik açıkları
Atlassian kısa süre önce Confluence Veri Merkezi ve Sunucusu’nda saldırganlar tarafından istismar edilen iki güvenlik açığını yamaladı: bozuk erişim kontrolünden kaynaklanan sıfır gün (CVE-2023-22515) ve saldırganların erişim kontrolünü sıfırlamasına izin veren bir güvenlik açığı olan CVE-2023-22518. güvenlik açığı bulunan örneklerin veritabanını oluşturun ve bir Confluence örneği yönetici hesabı oluşturun.