Actualización de seguridad para productos Atlassian – Febrero 2025

Atlassian ha identificado un conjunto de vulnerabilidades 4 de alta severidad y 5 críticas en varios de sus productos. Estas fallas podrían permitir a un atacante ejecutar ataques de denegación de servicio (DoS), ejecución remota de código (RCE) y y la elusión de mecanismos de autenticación y gestión de sesión (BASM). A continuación, se detallan las CVE identificadas y su impacto.

• CVE-2024-7254 (CVSS 8.7): Esta vulnerabilidad de denegación de servicio (DoS) afecta a la dependencia com.google.protobuf:protobuf-java en Jira Software Data Center y Server y Bamboo Data Center y Server. Un atacante puede manipular datos en formato Protocol Buffers para provocar un desbordamiento de pila (StackOverflow), interrumpiendo el servicio.

• CVE-2024-52316 (CVSS 9.8): Esta vulnerabilidad de autenticación y gestión de sesión (BASM) afecta a la dependencia org.apache.tomcat:tomcat-catalina en Crowd Data Center y Server, la cual permite a un atacante no autenticado evadir los controles de autenticación, comprometiendo el acceso al sistema.

• CVE-2024-50379 (CVSS 9.8): Esta vulnerabilidad de ejecución remota de código (RCE) afecta a la dependencia org.apache.tomcat:tomcat-catalina en Crowd Data Center y Server. Permite a un atacante ejecutar código arbitrario durante la compilación de archivos JSP (JavaServer Pages).

• CVE-2024-56337 (CVSS 9.8): Es una extensión de la vulnerabilidad anterior y, en ciertos entornos (especialmente en aquellos que usan Java 8, 11 o 17), amplifica el riesgo de RCE. Estas vulnerabilidades afectan tanto a Crowd como a Confluence Data Center/Server, facilitando la ejecución de código malicioso durante la compilación de archivos JSP.

• CVE-2022-25927 (CVSS 7.5): Esta vulnerabilidad de denegación de servicio (DoS) afecta a la dependencia ua-parser.js en Crowd Data Center. Esta falla permite a un atacante causar la indisponibilidad del servicio.

• CVE-2024-47072 (CVSS 7.5): Esta vulnerabilidad de denegación de servicio (DoS) afecta a la dependencia com.thoughtworks.xstream:xstream en Bamboo Data Center y Server. Mediante un desbordamiento de pila, un atacante puede provocar la interrupción del servicio.

• CVE-2024-47561 (CVSS 7.3): Esta vulnerabilidad de ejecución remota de código (RCE) afecta a la dependencia org.apache.avro:avro en Bitbucket Data Center y Server y podría permitir a un atacante ejecutar código arbitrario.

• CVE-2024-50379 y CVE-2024-56337 (CVSS 9.8): Estas vulnerabilidades de ejecución remota de código (RCE) afectan a la dependencia org.apache.tomcat:tomcat-catalina en Confluence Data Center y Server, las cuales permiten a un atacante ejecutar código arbitrario durante la compilación de archivos JSP.

Productos y versiones afectadas:

• Jira Software Data Center y Server:
  • Desde la versión 9.4 hasta antes de la 9.4.28.
  • Desde la versión 9.12 hasta antes de la 9.12.15.
  • Desde la versión 9.17 hasta antes de la 9.17.4.
  • Desde la versión 10.1 hasta antes de la 10.1.2.

• Crowd Data Center y Server:
  • Desde la versión 6.0 hasta antes de la 6.0.7.
  • Desde la versión 6.1 hasta antes de la 6.1.4.
  • Desde la versión 6.2 hasta antes de la 6.2.2.

• Bamboo Data Center y Server:
  • Desde la versión 9.2 hasta antes de la 9.2.21.
  • Desde la versión 9.6 hasta antes de la 9.6.7.
  • Desde la versión 10.0 hasta antes de la 10.0.2.
  • Desde la versión 10.2 hasta antes de la 10.2.1.

• Bitbucket Data Center y Server:
  • Desde la versión 8.9 hasta antes de la 8.9.21.
  • Desde la versión 8.19 hasta antes de la 8.19.21.

• Confluence Data Center y Server:
  • Desde la versión 8.5 hasta antes de la 8.5.19.
  • Desde la versión 9.2 hasta antes de la 9.2.1.

Solución:

• Jira Software Data Center y Server: Actualizar a la versión 9.4.28, 9.12.15, 9.17.4, 10.1.2 o posterior.

• Crowd Data Center y Server: Actualizar a la versión 6.0.7, 6.1.4, 6.2.2 o posterior.

• Bamboo Data Center y Server: Actualizar a la versión 9.2.21, 9.6.7, 10.0.2, 10.2.1 o posterior.

• Bitbucket Data Center y Server: Actualizar a la versión 8.9.21, 8.19.21 o posterior.

• Confluence Data Center y Server: Actualizar a la versión 8.5.19, 9.2.1 o posterior.

Recomendaciones:

• Actualizar inmediatamente los productos afectados a las versiones corregidas mencionadas en este boletín.

• Verificar y configurar correctamente las propiedades del sistema en entornos que utilizan Apache Tomcat, especialmente en sistemas con Java 8, 11 o 17.

• Monitorear y aplicar parches de seguridad para dependencias externas como Apache Tomcat, Protocol Buffers y XStream.

Referencias:

• https://confluence.atlassian.com/security/security-bulletin-february-18-2025-1510670627.html
• https://www.securityweek.com/atlassian-patches-critical-vulnerabilities-in-confluence-crowd/
• https://jira.atlassian.com/browse/JSWSERVER-26299
• https://jira.atlassian.com/browse/BAM-26010
• https://jira.atlassian.com/browse/CWD-6334
• https://jira.atlassian.com/browse/CWD-6333