澳洲軟體公司Atlassian上周發布7月份安全公告,修補Bamboo、Confluence和Jira產品的安全漏洞,包含11項高風險漏洞。
這些漏洞來自Atlassian抓漏獎勵方案、公司滲透測試流程,以及第三方單位的函式庫掃瞄發現,涵括阻斷服務(DoS)、跨站腳本攻擊(XSS)及伺服器請求偽造(SSRF)等漏洞。
其中Atlassian CI/CD軟體Bamboo Data Center及Server受到2項漏洞影響。第一為編號CVE-2024-21687的檔案包含(file inclusion)漏洞,它讓經驗證的攻擊者利用App顯示本機檔案內容或執行伺服器上儲存的另一個檔案,影響資訊外洩。另一則是CVE-2024-22262為伺服器org.springframework:spring-web Dependency元件的請求偽造(SSRF,Server-Side Request Forgery),讓未經驗證的攻擊者造成環境中資產曝險。二項漏洞皆影響檔案內容機密和完整性,且不需用戶互動,風險值為8.1。
Atlassian內容管理軟體Confluence產品線則修補Confluence Data Center及Server 7項漏洞。其中5項為影響org.apache.commons:commons-compress元件的相依性阻斷服務(DoS)漏洞,能讓未經授權的攻擊者曝險使用者環境中的資產,影響檔案的隱私及完整性,這些漏洞風險值同為7.5,編號分別為CVE-2019-12402、CVE-2021-36090、CVE-2021-35515、CVE-2021-35516、CVE-2021-35517。CVE-2023-22025則是第三方相依性漏洞,造成環境資產曝光,風險值7.4。
CVE-2024-21686是一儲存型跨站腳本攻擊(stored XSS)可將惡意程式儲存在類似留言板的網站資料庫中,以便在用戶瀏覽器中執行惡意HTML或Javascript惡意程式碼,以竊取後端資料庫資料。風險值為7.3。
專案管理工具Jira則是在Data Center與Server,以及Service Management Data Center和Server二項產品的com.thoughtworks.xstream:xstream元件出現相依性阻斷服務漏洞CVE-2022-41966,在沒有用戶互動下造成環境中檔案曝險,風險值7.5。
軟體公司已經釋出最新版本,由於這批漏洞是在每月安全布告中公布,而非重大安全公告,意謂著較低風險。但Atlassian仍呼籲企業用戶排定時間升級到最新版本以解決安全風險。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19