Múltiples vulnerabilidades en productos de Atlassian
- Bamboo Data Center and Server, versiones:
- desde 9.5.0 hasta 9.5.1;
- desde 9.4.0 hasta 9.4.3;
- desde 9.3.0 hasta 9.3.6;
- desde 9.2.0 hasta 9.2.11 (LTS);
- desde 9.1.0 hasta 9.1.3;
- desde 9.0.0 hasta 9.0.4;
- desde 8.2.0 hasta 8.2.9;
- cualquier versión anterior.
- Bitbucket Data Center and Server, versiones:
- 8.18.0;
- desde 8.17.0 hasta 8.17.1;
- desde 8.16.0 hasta 8.16.2;
- desde 8.15.0 hasta 8.15.3;
- desde 8.14.0 hasta 8.14.4;
- desde 8.13.0 hasta 8.13.5;
- desde 8.12.0 hasta 8.12.3;
- desde 8.11.0 hasta 8.11.1;
- desde 8.10.0 hasta 8.10.1;
- desde 8.9.0 hasta 8.9.9 (LTS);
- cualquier versión anterior (excepto 7.21.22).
- Confluence Data Center and Server, versiones:
- 8.8.0;
- desde 8.7.0 hasta 8.7.2;
- desde 8.6.0 hasta 8.6.2;
- desde 8.5.0 hasta 8.5.6 (LTS);
- desde 8.4.0 hasta 8.4.5;
- desde 8.3.0 hasta 8.3.4;
- desde 8.2.0 hasta 8.2.3;
- desde 8.1.0 hasta 8.1.4;
- desde 8.0.0 hasta 8.0.4;
- desde 7.20.0 hasta 7.20.3;
- desde 7.19.0 (LTS) hasta 7.19.19 (LTS);
- desde 7.18.0 hasta 7.18.3;
- desde 7.17.0 hasta 7.17.5;
- cualquier versión anterior.
- Jira Software Data Center and Server, versiones:
- desde 9.12.0 hasta 9.12.2 LTS;
- desde 9.11.0 hasta 9.11.3;
- desde 9.10.0 hasta 9.10.2;
- desde 9.9.0 hasta 9.9.2;
- desde 9.8.0 hasta 9.8.2;
- desde 9.7.0 hasta 9.7.2;
- 9.6.0;
- desde 9.5.0 hasta 9.5.1;
- desde 9.4.0 hasta 9.4.17 LTS;
- desde 9.3.0 hasta 9.3.3;
- desde 9.2.0 hasta 9.2.1;
- desde 9.1.0 hasta 9.1.1;
- 9.0.0;
- cualquier versión anterior.
Atlassian ha publicado un boletín de seguridad para marzo de 2024 que incluye 1 vulnerabilidad de severidad crítica y 24 altas. La explotación de estas vulnerabilidades podría permitir a un atacante realizar inyección de SQL, denegación de servicio, acceder a directorios restringidos y ejecutar código remoto.
Actualizar los productos afectados a las versiones que aparecen listadas en la columna 'Fixed Versions' de la tabla incluida en las referencias.
La vulnerabilidad crítica podría permitir a un atacante realizar una inyección SQL en caso de emplear la opción 'PreferQueryMode=SIMPLE' en pgjdbc (PostgreSQL JDBC Driver). Es una vulnerabilidad en una dependencia de Bamboo no perteneciente a Atlassian. Se ha asignado el identificador CVE-2024-1597 para esta vulnerabilidad.
El resto de identificadores CVE para las vulnerabilidades de severidad alta pueden consultarse en las referencias.