Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Atlassian

Fecha de publicación 07/12/2023
Identificador
INCIBE-2023-0543
Importancia
5 - Crítica
Recursos Afectados
  • Atlassian Companion App for MacOS para: 
    • Confluence Server;
    • Confluence Data Center.
  • Assets Discovery para:
    • Jira Service Management Cloud;
    • Jira Service Management Server;
    • Jira Service Management Data Center.
  • Automation for Jira app (incluido Server Lite edition);
  • Bitbucket Data Center;
  • Bitbucket Server;
  • Confluence Data Center;
  • Confluence Server;
  • Confluence Cloud Migration App;
  • Jira Core Data Center;
  • Jira Core Server;
  • Jira Service Management Data Center;
  • Jira Service Management Server;
  • Jira Software Data Center;
  • Jira Software Server;

Pueden consultar la lista de versiones afectadas en los enlaces de la sección de referencias.

Descripción

Atlassian ha informado en varios avisos de seguridad sobre vulnerabilidades críticas que afectan a productos de Confluence, Jira, Companion y Assets Discovery. La explotación de estas vulnerabilidades podría conducir a la ejecución remota de código.

Solución

Se recomienda aplicar parches y actualizaciones publicados por Atlassian.

Detalle

Atlassian ha informado de las siguientes vulnerabilidades que podrían provocar una ejecución remota de código:

  • CVE-2022-1471: Diferentes productos que utilizan la biblioteca SnakeYAML para Java, son susceptibles a un fallo en la deserialización, al no restringir los tipos de instancias que se pueden crear a través de la clase Constructor() de esta biblioteca, lo que puede conducir a una ejecución remota de código.
  • CVE-2023-22522: Esta vulnerabilidad permite inyectar entradas de usuario no seguras en una página de Confluence. Con este enfoque, un atacante puede lograr una ejecución remota de código en una instancia afectada.
  • CVE-2023-22523: Esta vulnerabilidad permite a un atacante realizar una ejecución remota de código privilegiada en máquinas con el agente Assets Discovery instalado. La vulnerabilidad existe entre la aplicación Assets Discovery (anteriormente Insight Discovery) y el agente Assets Discovery. 
  • CVE-2023-22524: Un atacante podría utilizar WebSockets para eludir la lista de bloqueo de Atlassian Companion y MacOS Gatekeeper lo que podría permitir la ejecución remota de código.