本周，Atlassian 公司修复了影响 Jira、Confluence、Bitbucket 和 Bamboo 产品的四个高危漏洞。

其中，最严重的漏洞是CVE-2023-22513（CVSS评分为8.5），是位于 Bitbucket 中的一个远程代码执行漏洞，可影响机密性、完整性和可用性。认证攻击者可在无需用户交互的前提下利用该漏洞。该漏洞在 Bitbucket 8.0.0 版本中引入，影响8.14.0之前的版本。Bitbucket 8.9.5、8.10.5、8.11.4、8.12.2、8.13.1、8.14.0 和更新版本中修复了该漏洞。

第二个漏洞CVE-2023-22512（CVSS评分7.5）是位于 Confluence Data Center 和 Server 产品中的拒绝服务漏洞。未认证攻击者可利用该漏洞，“通过临时或无限破坏联网的易受攻击主机的服务” 拒绝对资源的访问。该漏洞在 Confluence 5.6中引入，影响该产品8.5.0及之前版本。Atlassian 已在 Confluence 7.19.14和8.5.1中修复该漏洞。

第三个漏洞CVE-2023-28709（CVSS评分7.5）是一个第三方依赖漏洞，可被攻击者用于“暴露环境中资产”。该漏洞存在于 Apache Tomcat 中，是因为另外一个漏洞CVE-2023-24998的补丁不完整造成的。该漏洞在 Bamboo 8.1.12中引入，已在 Bamboo 9.2.4 和 9.3.1中修复。建议更老旧版本用户更新至已修复版本。

第四个漏洞是位于 Jira 中的CVE-2022-25647（CVSS评分7.5），可导致攻击者暴露资产以遭进一步利用。该漏洞在Jira 4.20.0中引入，已在4.20.25、5.4.9、5.9.2、5.10.1和5.11.0中修复。

Atlassian 公司提到，“安全通告中的这些漏洞包括四个高危漏洞，已在产品新版本中修复，并于上个月发布。这些漏洞是通过我们的漏洞奖励计划和渗透测试流程以及第三方库扫描发现的。”该公司并未提到这些漏洞是否已遭在野利用。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~