Atlassian 修复Confluence等产品中的多个高危漏洞
2024-7-18 21:50:18 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周二,软件厂商 Atlassian 发布安全更新,修复了位于 Bamboo、Confluence 和 Jira 产品中的多个高危漏洞。

Atlassian 公司紧急呼吁用户注意 Bamboo Data Center 和 Server 更新修复的两个高危漏洞,其中一个影响 UriComponentsBuilder 依赖,可导致未认证攻击者执行服务器端请求伪造 (CSRF) 攻击。该漏洞编号为CVE-2024-22262,影响Data Center 和 Bamboo Server 版本 9.0.0、9.1.0、9.2.1、9.3.0、9.4.0、9.5.0和9.6.0,已在版本9.6.3 LTS 和9.2.14 LTS 中修复。

第二个漏洞是CVE-2024-21687,是文件包含漏洞,可导致攻击者“使该应用展示本地文件内容,或执行已本地存储在服务器中的其它文件。”该漏洞影响 Bamboo Data Center and Server 9.0.0、9.1.0、9.2.0、9.3.0、9.4.0、9.5.0 和 9.6.0版本。攻击者需要认证才能实施成功利用,已在版本9.6.4 LTS 和 9.2.16 LTS 中修复。

该漏洞还修复了 Confluence Data Center 和 Confluence Server 中的7个高危漏洞,其中5个是位于 Apache Commons Compress 依赖中的拒绝服务漏洞。Atlassian 公司表示,“该库易受攻击的版本存在于 Confluence 中,但并未遭利用。因此,我们的产品并非本身易受攻击以及面临风险。升级会迁移到该库的更新版本,但任何未来的升级皆如此。”这些漏洞已在 Confluence Data Center 版本8.9.4、8.5.12 LTS 和 7.19.25 LTS以及 Confluence Server 8.5.12 LTS 和 7.19.25 LTS 中修复。

Atlassian 公司还修复了与绑定的JDK相关但不影响 .zip/.tar.gz 发行版本的12个CVE漏洞。第三方依赖弱点在Confluence Data Center 和 Server 7.0.1版本中修复。

另外,Atlassian 公司还修复了一个存储型跨站脚本 (XSS) 漏洞,可导致认证攻击者在受害者浏览器中执行任意 HTML 或 JavaScript 代码。

Jira Software Data Center 和服务器以及 Jira Service Management Data Center 和 Server 修复了位于 XStream 依赖中的一个高危漏洞 (CVE-2022-41996),它可被用于引发拒绝服务条件。该漏洞的补丁已包含在 Jira Software Data Center 和 Server 版本9.8.0、9.12.0 LTS 和9.4.18 LTS,以及Jira Service Management Data Center 和 Server 版本5.8.0、5.12.0 LTS 和 5.4.18 LTS 中。

Atlassian 公司并未提及这些漏洞是否已遭在野利用,但建议用户尽快应用这些补丁。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Atlassian Confluence 高危漏洞可导致代码执行

Atlassian 发布20多个漏洞,含严重的 Bamboo 漏洞

Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)安全风险通告

Atlassian 修复多款产品中的多个严重RCE漏洞

Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失

原文链接

https://www.securityweek.com/atlassian-patches-high-severity-vulnerabilities-in-bamboo-confluence-jira/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520092&idx=2&sn=cc02ff9f6ef98e6d539f13b4c6c892c2&chksm=ea94be36dde3372074c503b63e7b5eb83dec6be08550d41b4537fcb9fc282e8691c7bd3597c3&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh