Atlassian修補Bamboo、Confluence、Jira高風險漏洞

澳洲軟體公司Atlassian上周發布7月份安全公告，修補Bamboo、Confluence和Jira產品的安全漏洞，包含11項高風險漏洞。

這些漏洞來自Atlassian抓漏獎勵方案、公司滲透測試流程，以及第三方單位的函式庫掃瞄發現，涵括阻斷服務（DoS）、跨站腳本攻擊（XSS）及伺服器請求偽造（SSRF）等漏洞。

其中Atlassian CI/CD軟體Bamboo Data Center及Server受到2項漏洞影響。第一為編號CVE-2024-21687的檔案包含（file inclusion）漏洞，它讓經驗證的攻擊者利用App顯示本機檔案內容或執行伺服器上儲存的另一個檔案，影響資訊外洩。另一則是CVE-2024-22262為伺服器org.springframework:spring-web Dependency元件的請求偽造（SSRF，Server-Side Request Forgery），讓未經驗證的攻擊者造成環境中資產曝險。二項漏洞皆影響檔案內容機密和完整性，且不需用戶互動，風險值為8.1。

Atlassian內容管理軟體Confluence產品線則修補Confluence Data Center及Server 7項漏洞。其中5項為影響org.apache.commons:commons-compress元件的相依性阻斷服務（DoS）漏洞，能讓未經授權的攻擊者曝險使用者環境中的資產，影響檔案的隱私及完整性，這些漏洞風險值同為7.5，編號分別為CVE-2019-12402、CVE-2021-36090、CVE-2021-35515、CVE-2021-35516、CVE-2021-35517。CVE-2023-22025則是第三方相依性漏洞，造成環境資產曝光，風險值7.4。

CVE-2024-21686是一儲存型跨站腳本攻擊（stored XSS）可將惡意程式儲存在類似留言板的網站資料庫中，以便在用戶瀏覽器中執行惡意HTML或Javascript惡意程式碼，以竊取後端資料庫資料。風險值為7.3。

專案管理工具Jira則是在Data Center與Server，以及Service Management Data Center和Server二項產品的com.thoughtworks.xstream:xstream元件出現相依性阻斷服務漏洞CVE-2022-41966，在沒有用戶互動下造成環境中檔案曝險，風險值7.5。

軟體公司已經釋出最新版本，由於這批漏洞是在每月安全布告中公布，而非重大安全公告，意謂著較低風險。但Atlassian仍呼籲企業用戶排定時間升級到最新版本以解決安全風險。