Atlassian, Uzaktan Kod Yürütmeyi Önlemek İçin Kritik Yazılım Düzeltmelerini Yayımladı

   Aralık 6, 2023  Posted in TheHackerNews


06 Aralık 2023Haber odasıYazılım Güvenliği / Güvenlik Açığı

Atlassian

Atlassian, yazılımındaki dört kritik kusuru gidermek için yazılım düzeltmeleri yayımladı; bu kusurlardan başarıyla yararlanılması durumunda uzaktan kod yürütülmesine neden olabilir.

Güvenlik açıklarının listesi aşağıdadır –

  • CVE-2022-1471 (CVSS puanı: 9,8) – SnakeYAML kütüphanesinde birden fazla üründe uzaktan kod yürütülmesine yol açabilen seri durumdan çıkarma güvenlik açığı
  • CVE-2023-22522 (CVSS puanı: 9.0) – Confluence Veri Merkezi ve Confluence Sunucusunda uzaktan kod yürütme güvenlik açığı (4.0.0 dahil ve sonrasındaki tüm sürümleri etkiler)
  • CVE-2023-22523 (CVSS puanı: 9,8) – Jira Hizmet Yönetimi Bulutu, Sunucusu ve Veri Merkezi için Assets Discovery’de uzaktan kod yürütme güvenlik açığı (3.2.0-bulut / 6.2.0 veri merkezi ve sunucusu hariç olmak üzere tüm sürümleri etkiler)
  • CVE-2023-22524 (CVSS puanı: 9,6) – MacOS için Atlassian Companion uygulamasında uzaktan kod yürütme güvenlik açığı (2.0.0 hariç olmak üzere tüm sürümleri etkiler)

Atlassian, CVE-2023-22522’yi, anonim erişime sahip biri de dahil olmak üzere kimliği doğrulanmış bir saldırganın, Confluence sayfasına güvenli olmayan kullanıcı girişi enjekte etmesine ve bunun sonucunda kod yürütülmesine olanak tanıyan bir şablon ekleme kusuru olarak tanımladı.

Siber güvenlik

Assets Discovery kusuru, bir saldırganın Assets Discovery aracısının yüklü olduğu makinelerde ayrıcalıklı uzaktan kod yürütmesine olanak tanırken CVE-2023-22524, bir saldırganın Atlassian Companion’ın engelleme listesini ve macOS Gatekeeper korumalarını atlamak için WebSockets’i kullanarak kod yürütme gerçekleştirmesine izin verebilir.

Bu uyarı, Avustralyalı yazılım şirketinin, Bamboo Veri Merkezi ve Sunucu ürünlerinin tüm sürümlerinin Apache ActiveMQ’daki (CVE-2023-46604, CVSS puanı: 10,0) aktif olarak kullanılan kritik bir güvenlik açığından etkilendiğini açıklamasından yaklaşık bir ay sonra geldi. Düzeltmeler 9.2.7, 9.3.5 ve 9.4.1 veya üzeri sürümlerde yayımlandı.

Atlassian ürünlerinin son yıllarda kazançlı saldırı vektörleri haline gelmesiyle birlikte, kullanıcıların etkilenen kurulumları yamalı bir sürüme güncellemek için hızlı bir şekilde harekete geçmeleri önemle tavsiye edilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link