Atlassian 发布20多个漏洞,含严重的 Bamboo 漏洞
2024-3-21 17:20:16 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Atlassian 公司修复20多个漏洞,其中严重的 Bamboo Data Center and Server 漏洞可在无需用户交互的情况下遭利用。该漏洞的编号是CVE-2024-1597,CVSS评分为10分。

该漏洞是SQL注入漏洞,位于依赖 org.postgresql:postgresql中,但Atlassian公司表示它“展示了较低的评估风险”。该公司指出,“org.postgresql:postgresql中的这个依赖漏洞可导致未认证攻击者在易受利用的环境中暴露资产,它对机密性、完整性和可用性都具有较高影响,且无需任何用户交互。”

NIST旗下的NVD漏洞数据库对该漏洞描述称,“PostgreSQL JDBC 驱动 pgjdbc可导致攻击者使用 PreferQueryMode=SIMPLE注入SQL。”早于如下版本的版本均受影响:

  • 42.7.2

  • 42.6.1

  • 42.5.5

  • 42.4.4

  • 42.3.9, and

  • 42.2.28 (42.2.28.jre7中已修复)

维护人员在上周发布的一份安全公告中提到,“使用非默认的连接属性 preferQueryMode=simple 和拥有易受攻击的否定参数值的SQL的应用代码时,可能造成SQL注入。使用默认的query模式不会在驱动中造成漏洞。未覆写该query模式的用户不受影响。”

据称该漏洞已引入如下 Bamboo Data Center and Server 版本中:

  • 8.2.1

  • 9.0.0

  • 9.1.0

  • 9.2.1

  • 9.3.0

  • 9.4.0

  • 9.5.0

Atlassian 公司还强调称,Bamboo 和其它Atlassian Data Center 产品不受该漏洞影响,因为它们并未在 SQL 数据库连接设置中使用 PreferQueryMode=SIMPLE。

建议用户将实例更新至最新版本。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)安全风险通告

Atlassian 修复多款产品中的多个严重RCE漏洞

Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失

Atlassian 紧急修复已遭利用的 Confluence 0day

Atlassian 安全更新修复多个高危漏洞

原文链接
https://thehackernews.com/2024/03/atlassian-releases-fixes-for-over-2.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519117&idx=2&sn=c0c8035f5617c6f76c73e71b9e73f04f&chksm=ea94bae7dde333f1efbbaeff72b89df023bbc2e6d408df713a753e060c09ff210656828d17d9&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh