اطلسین پچهایی را برای نقصهای بحرانی در Confluence و Bamboo منتشر کرد
اخبار داغ فناوری اطلاعات و امنیت شبکه
مجموعه Atlassian (اطلسین) بروزرسانیهایی را برای رفع سه نقص امنیتی که بر محصولات Confluence Server، Data Center و Bamboo Data Center تاثیر میگذارد، منتشر کرده است که در صورت سواستفاده موفقیتآمیز، میتواند منجر به اجرای کد از راه دور (Remote Code Execution) در سیستمهای آسیبپذیر شود.
لیست نقصها در زیر ذکر شده است:
• نقص CVE-2023-22505 (امتیاز CVSS: 8.0) - RCE (اجرای کد از راه دور) در مرکز داده و سرور Confluence (در نسخههای 8.3.2 و 8.4.0 رفع شده است)
• نقص CVE-2023-22508 (امتیاز CVSS: 8.5) - RCE (اجرای کد از راه دور) در مرکز داده و سرور Confluence (در نسخههای 7.19.8 و 8.2.0 رفع شده است)
• نقص CVE-2023-22506 (امتیاز CVSS: 7.5) - Injection و RCE (اجرای کد از راه دور) در Bamboo (در نسخههای 9.2.3 و 9.3.1 رفع شده است)
این شرکت گفت: "CVE-2023-22505 و CVE-2023-22508 به یک مهاجم تایید شده اجازه میدهد تا کد دلخواه را اجرا کند که تاثیر زیادی بر محرمانگی، یکپارچگی، در دسترس بودن داشته د از دیگر سو بینیاز از تعامل با کاربر است".
درحالیکه اولین باگ در نسخه 8.0.0 معرفی شد، CVE-2023-22508 نیز در نسخه 7.4.0 نرمافزار معرفی شد.
اطلسین افزود: "با توجه به اینکه CVE-2023-22506، که در نسخه 8.0.0 Bamboo Data Center معرفی شده است، به یک مهاجم تایید شده اجازه میدهد تا اقدامات انجام شده توسط یک فراخوانی سیستمی، تغییر ایجاد کند و کد دلخواه را اجرا نماید".
در اوایل ژانویه امسال، شرکت استرالیایی پچهایی را برای رفع نقص امنیتی حیاتی در سرور مدیریت خدمات Jira و مرکز داده ارسال کرد که میتوانست توسط مهاجم برای انتقال بهعنوان کاربر دیگر و دسترسی غیرمجاز به نمونههای حساس مورد سو استفاده قرار گیرد (CVE-2023-22501، امتیاز CVSS: 9.4).
هفتهها بعد، دو نقص بحرانی سرریز در Git (CVE-2022-41903 و CVE-2022-23531) که بر سرور Bitbucket و Data Center، Bamboo Server و Data Center، Fisheye، Crucible و Sourcetree تاثیر میگذارند، را منتشر کرد.
با توجه به اینکه آسیبپذیریهای امنیتی سرورهای Atlassian در سالهای اخیر به گزینهای جذاب برای حملات تبدیل شدهاند، توصیه میشود که کاربران بهسرعت اقدام به اعمال پچها برای محافظت در برابر تهدیدات احتمالی کنند.
برچسب ها: CVE-2022-41903, Sourcetree, Fisheye, Crucible, CVE-2023-22505, CVE-2023-22501, CVE-2023-22506, CVE-2023-22508, Bamboo Data Center, Confluence Server, اطلسین, Atlassian Confluence RCE, Data Center, Jira, Confluence, Atlassian, اجرای کد از راه دور, git, پچ, Bitbucket, Patch, آسیبپذیری, Remote Code Execution, Vulnerability, Cyber Security, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, مجرمان سایبری, حمله سایبری, news