Vulnerabilidades en productos Atlassian | DKCERT
En su boletín de seguridad de junio, Atlassian abordó una serie de vulnerabilidades graves en los productos Confluence, Crucible y Jira.
Eso es lo que escribe Security Week.
El problema más grave es un error en la validación de entradas en relación con el control de acceso. Spring Framework, que podría permitir a atacantes no autorizados exponer activos a los que no deberían tener acceso. La falla tiene el ID CVE-2024-22257 y una puntuación CVSS de 8,2.
Se han identificado tres errores que son relevantes para los programas que utilizan UriComponentsBuilder para analizar una URL especificada externamente (por ejemplo, a través de un parámetro de consulta). Pueden ser vulnerables a la redirección a determinadas URL debido a la falta de validación de entrada. Estos son CVE-2024-22262, CVE-2024-22243, CVE-2024-22259, todos los cuales recibieron una puntuación CVSS de 8,1.
Además, los siguientes errores:
– «Escritura fuera de límites» incluida en la configuración de Apache Commons. CVE-2024-29131 + CVE-2024-29133 (puntuación CVSS 7,5)
– Una vulnerabilidad para «deserializar» datos que no son de confianza mediante el método writeReplace() en clases internas, lo que podría provocar ataques DoS. CVE-2024-25647 (7.5)
– Una falla general en el servidor y el centro de datos de Jira Service Management podría potencialmente llevar a que un actor malicioso no autorizado exponga información confidencial. CVE-2024-21685 (7.4):
Aún no hay informes de explotación activa. Se recomienda actualizar los productos de acuerdo con las instrucciones del fabricante.
Enlaces:
https://securityaffairs.com/164743/security/atlassian-confluence-crucible-jira-flaws.html
https://confluence.atlassian.com/security/security-bulletin-june-18-2024-1409286211.html