Múltiples vulnerabilidades en productos de Atlassian

Fecha de publicación 20/03/2024
Importancia
5 - Crítica
Recursos Afectados
  • Bamboo Data Center and Server, versiones:
    • desde 9.5.0 hasta 9.5.1;
    • desde 9.4.0 hasta 9.4.3;
    • desde 9.3.0 hasta 9.3.6;
    • desde 9.2.0 hasta 9.2.11 (LTS);
    • desde 9.1.0 hasta 9.1.3;
    • desde 9.0.0 hasta 9.0.4;
    • desde 8.2.0 hasta 8.2.9;
    • cualquier versión anterior.
  • Bitbucket Data Center and Server, versiones:
    • 8.18.0;
    • desde 8.17.0 hasta 8.17.1;
    • desde 8.16.0 hasta 8.16.2;
    • desde 8.15.0 hasta 8.15.3;
    • desde 8.14.0 hasta 8.14.4;
    • desde 8.13.0 hasta 8.13.5;
    • desde 8.12.0 hasta 8.12.3;
    • desde 8.11.0 hasta 8.11.1;
    • desde 8.10.0 hasta 8.10.1;
    • desde 8.9.0 hasta 8.9.9 (LTS);
    • cualquier versión anterior (excepto 7.21.22).
  • Confluence Data Center and Server, versiones:
    • 8.8.0;
    • desde 8.7.0 hasta 8.7.2;
    • desde 8.6.0 hasta 8.6.2;
    • desde 8.5.0 hasta 8.5.6 (LTS);
    • desde 8.4.0 hasta 8.4.5;
    • desde 8.3.0 hasta 8.3.4;
    • desde 8.2.0 hasta 8.2.3;
    • desde 8.1.0 hasta 8.1.4;
    • desde 8.0.0 hasta 8.0.4;
    • desde 7.20.0 hasta 7.20.3;
    • desde 7.19.0 (LTS) hasta 7.19.19 (LTS);
    • desde 7.18.0 hasta 7.18.3;
    • desde 7.17.0 hasta 7.17.5;
    • cualquier versión anterior.
  • Jira Software Data Center and Server, versiones:
    • desde 9.12.0 hasta 9.12.2 LTS;
    • desde 9.11.0 hasta 9.11.3;
    • desde 9.10.0 hasta 9.10.2;
    • desde 9.9.0 hasta 9.9.2;
    • desde 9.8.0 hasta 9.8.2;
    • desde 9.7.0 hasta 9.7.2;
    • 9.6.0;
    • desde 9.5.0 hasta 9.5.1;
    • desde 9.4.0 hasta 9.4.17 LTS;
    • desde 9.3.0 hasta 9.3.3;
    • desde 9.2.0 hasta 9.2.1;
    • desde 9.1.0 hasta 9.1.1;
    • 9.0.0;
    • cualquier versión anterior.
Descripción

Atlassian ha publicado un boletín de seguridad para marzo de 2024 que incluye 1 vulnerabilidad de severidad crítica y 24 altas. La explotación de estas vulnerabilidades podría permitir a un atacante realizar inyección de SQL, denegación de servicio, acceder a directorios restringidos y ejecutar código remoto.

Solución

Actualizar los productos afectados a las versiones que aparecen listadas en la columna 'Fixed Versions' de la tabla incluida en las referencias.

Detalle

La vulnerabilidad crítica podría permitir a un atacante realizar una inyección SQL en caso de emplear la opción 'PreferQueryMode=SIMPLE' en pgjdbc (PostgreSQL JDBC Driver). Es una vulnerabilidad en una dependencia de Bamboo no perteneciente a Atlassian. Se ha asignado el identificador CVE-2024-1597 para esta vulnerabilidad.

El resto de identificadores CVE para las vulnerabilidades de severidad alta pueden consultarse en las referencias.

Listado de referencias
Security Bulletin - March 19 2024
SQLi (SQL Injection) org.postgresql:postgresql Dependency in Bamboo Data Center and Server
Etiquetas