Nuevas vulnerabilidades parcheadas en boletín de seguridad de Atlassian

En el boletín de seguridad de mayo de 2024, Atlassian aborda varias vulnerabilidades de severidad crítica y alta descubiertas en sus productos, específicamente Confluence, Bamboo, y Bitbucket. Estas vulnerabilidades fueron identificadas a través del programa de recompensas de errores, procesos de pruebas de penetración y escaneos de bibliotecas de terceros. A continuación, se detallan las vulnerabilidades específicas junto con sus puntuaciones CVSS, versiones afectadas y corregidas.

• CVE-2024-1597 (CVSS 9.8): Esta vulnerabilidad crítica de inyección SQL (SQLi) afecta a las dependencias de org.postgresql:postgresql en Confluence Data Center y Server. Fue introducida en la versión 6.0.1 y tiene un alto impacto en la confidencialidad, integridad y disponibilidad sin requerir interacción del usuario.

• CVE-2023-4759 (CVSS 8.8): Una vulnerabilidad de ejecución remota de código (RCE) en la dependencia org.eclipse.jgit:org.eclipse.jgit afecta a Bamboo Data Center y Server. Introducida en la versión 9.0.0, esta vulnerabilidad permite a un atacante autenticado explotar recursos del entorno, afectando significativamente la confidencialidad, integridad y disponibilidad.

• CVE-2024-22257 (CVSS 8.2): Esta vulnerabilidad de autorización inapropiada en la dependencia org.springframework.security:spring-security-core afecta a Bitbucket Data Center y Server. Introducida en la versión 8.0.0, permite a un atacante no autenticado explotar recursos del entorno, afectando gravemente la confidencialidad con un impacto bajo en la integridad.

• CVE-2024-22262 (CVSS 8.1): Una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en la dependencia org.springframework:spring-web afecta a Bitbucket Data Center y Server. Introducida en la versión 8.0.0, esta vulnerabilidad permite a un atacante realizar solicitudes no autorizadas desde el servidor afectado, impactando la disponibilidad del sistema.

Productos y versiones afectadas:

• Confluence Data Center y Server: Versiones desde 6.0.1 hasta 8.9.0.
• Bamboo Data Center y Server: Versiones desde 9.0.0 hasta 9.5.1.
• Bitbucket Data Center y Server: Versiones desde 8.0.0 hasta 8.19.0.

Solución:

Atlassian recomienda encarecidamente actualizar a las versiones más recientes de cada producto afectado para mitigar estas vulnerabilidades. Las versiones corregidas son:

• Confluence: 8.9.1, 8.5.9 LTS, 7.19.22 LTS.
• Bamboo: 9.6.0 LTS, 9.5.2, 9.2.14 LTS.
• Bitbucket: 8.19.1 LTS, 8.9.12 LTS.

Recomendaciones:

• Actualizar todos los sistemas a las versiones recomendadas o superiores para garantizar que las vulnerabilidades estén mitigadas.

• Implementar las mejores prácticas de seguridad del centro de datos siguiendo la guía proporcionada por Atlassian.

• Monitorizar constantemente las actualizaciones de seguridad y los boletines de Atlassian para estar al tanto de nuevas vulnerabilidades y parches.

Referencias:

• https://confluence.atlassian.com/security/security-bulletin-may-21-2024-1387867145.html

• https://jira.atlassian.com/browse/CONFSERVER-95837

• https://jira.atlassian.com/browse/BSERV-19425

• https://jira.atlassian.com/browse/BSERV-19365

• https://jira.atlassian.com/browse/BAM-25774