Společnost Atlassian vydala bezpečnostní upozornění na zranitelnosti s prioritou High

Souhrn zranitelností:

Zdroj: https://confluence.atlassian.com/security/security-bulletin-january-21-2025-1489803942.html

Detail zranitelností:

CVE-2024-38819 Third-Party Dependency in Bitbucket Server IDOR (Insecure Direct Object Reference) org.springframework:spring-webmvc

Popis zranitelnosti:

Tato vysoce závažná zranitelnost spojená se závislostmi třetí strany byla identifikována ve verzích 8.9.0 – 8.9.23 a 8.19.0 – 8.19.12 Bitbucket Serveru a ve verzi 3.0 Confluence Data Center a Server.

Zranitelnost ovlivňuje aplikace využívající frameworky WebMvc.fn nebo WebFlux.fn k poskytování statických zdrojů. Útočník může vytvořit škodlivé HTTP požadavky, které zneužívají zranitelnost typu „path traversal“

Tato zranitelnost umožňuje neautentizovanému útočníkovi odhalit citlivé informace ve vašem prostředí, které mohou být zneužity.

Hodnocení CVSS:

• Skóre: 7.5 (Vysoká závažnost)
• Vliv:
• Důvěrnost: Vysoký dopad
• Integrita: Žádný dopad
• Dostupnost: Žádný dopad
• Interakce uživatele: Nevyžaduje se

Doporučení
Atlassian doporučuje co nejdříve aktualizovat na nejnovější verzi produktu. Pokud to není možné, doporučuje se provést aktualizaci na jednu z níže uvedených bezpečných verzí:

• Bitbucket Server 8.9: Aktualizovat na verzi 8.9.24 nebo novější
• Bitbucket Server 8.19: Aktualizovat na verzi 8.19.13 nebo novější
• Bitbucket Server 9.4: Aktualizovat na verzi 9.4.0 nebo novější
• Confluence Data Center a Server 9.1: Aktualizujte na verzi 9.1.1 nebo novější.

Zdroj https://nvd.nist.gov/vuln/detail/CVE-2024-38819, https://jira.atlassian.com/browse/BSERV-19781, https://jira.atlassian.com/browse/CONFSERVER-98842

CVE-2024-47072 DoS (Denial of Service) com.thoughtworks.xstream:xstream Dependency in Bitbucket Data Center and Server

Zranitelnost v závislosti na knihovně com.thoughtworks.xstream:xstream byla nalezena ve verzích 8.6.0, 8.7.0, 8.8.0, 8.9.0, 8.10.0, 8.11.0, 8.12.0, 8.13.0, 8.14.0, 8.15.0, 8.16.0, 8.17.0, 8.18.0, 8.19.0, 9.0.0, 9.1.0, 9.2.0, 9.3.0 a 9.4.0 produktu Bitbucket Data Center a Server.

Hodnocení CVSS:

• Skóre: 7.5 (Vysoká závažnost)
• Vliv:
• Důvěrnost: Žádný dopad
• Integrita: Žádný dopad
• Dostupnost: Vysoký dopad
• Interakce uživatele: Nevyžaduje se

Národní databáze zranitelností (National Vulnerability Database) poskytuje následující popis:
Knihovna XStream slouží k serializaci objektů do XML a zpět. Zranitelnost umožňuje vzdálenému útočníkovi ukončit aplikaci pomocí chyby přetečení zásobníku (Stack Overflow Error) prostřednictvím manipulace vstupního streamu, pokud je XStream nakonfigurován pro použití BinaryStreamDriver.

Řešení:

• Verze XStream 1.4.21 opravila tuto zranitelnost detekcí manipulace binárního vstupního streamu. Místo přetečení zásobníku nyní generuje výjimku InputManipulationException.
• Uživatelé, kteří nemohou aktualizovat, mohou ošetřit chybu přetečení zásobníku (StackOverflowError) ve svém klientském kódu, pokud používají BinaryStreamDriver.

Doporučení:

Atlassian doporučuje aktualizovat co nejdříve na nejnovější verzi produktu. Pokud to není možné, proveďte upgrade na jednu z následujících podporovaných verzí:

• Bitbucket Data Center a Server 8.9: Aktualizujte na verzi 8.9.24 nebo vyšší.
• Bitbucket Data Center a Server 8.19: Aktualizujte na verzi 8.19.14 nebo vyšší.
• Bitbucket Data Center a Server 9.4: Aktualizujte na verzi 9.4.2 nebo vyšší.
• Bitbucket Data Center a Server 9.5: Aktualizujte na verzi 9.5.0 nebo vyšší.

Zdroj: https://nvd.nist.gov/vuln/detail/CVE-2024-47072, https://jira.atlassian.com/browse/BSERV-19809

CVE-2024-47561 RCE (Remote Code Execution) org.apache.avro:avro Dependency

Tato závažná zranitelnost v závislosti na knihovně org.apache.avro:avro byla zavedena ve verzi 6.5 produktů Confluence Data Center a Server, ve verzích 9.12.0, 9.17.0, a 10.3.0 produktů Jira Software Data Center a Server a ve verzích 5.12.0, 5.17.0, a 10.3.0 produktů Jira Service Management Data Center a Server.

Tato zranitelnost umožňuje neautentizovanému útočníkovi odhalit citlivé informace ve vašem prostředí, které mohou být zneužity.

Národní databáze zranitelností (National Vulnerability Database) poskytuje následující popis:

Problém s analyzováním schémat v Java SDK Apache Avro ve verzi 1.11.3 a dřívějších verzích umožňuje útočníkům vykonávat libovolný kód.

Uživatelům se doporučuje aktualizovat na verzi 1.11.4 nebo 1.12.0, které tento problém opravují.

Hodnocení CVSS:

• Skóre: 7.3 (Vysoká závažnost)
• Vliv:
• Důvěrnost: Nízký dopad
• Integrita: Nízký dopad
• Dostupnost: Nízký dopad
• Interakce uživatele: Nevyžaduje se

Doporučení Atlassianu:

• Aktualizovat na nejnovější verzi.
• Pokud to není možné, aktualizujte svou instanci na některou z podporovaných verzí, ve kterých byla zranitelnost opravena:
  • Confluence Data Center a Server 7.19: Aktualizujte na verzi 19.30 nebo novější.
  • Confluence Data Center a Server 8.5: Aktualizujte na verzi 5.18 nebo novější.
  • Confluence Data Center a Server 9.1: Aktualizujte na verzi 1.1 nebo novější.
  • Jira Software Data Center a Server 9.12: Aktualizujte na verzi 12.15 nebo novější.
  • Jira Software Data Center a Server 9.17: Aktualizujte na verzi 17.5 nebo novější.
  • Jira Software Data Center a Server 10.3: Aktualizujte na verzi 3.1 nebo novější.
  • Jira Service Management Data Center a Server 5.12: Aktualizujte na verzi 12.15 nebo novější.
  • Jira Service Management Data Center a Server 5.17: Aktualizujte na verzi 17.5 nebo novější.
  • Jira Service Management Data Center a Server 10.3: Aktualizujte na verzi 3.1 nebo novější.

Zdroj: https://nvd.nist.gov/vuln/detail/CVE-2024-47561, https://jira.atlassian.com/browse/CONFSERVER-98720, https://jira.atlassian.com/browse/JSWSERVER-26273, https://jira.atlassian.com/browse/JSDSERVER-15988

CVE-2024-39338 SSRF (Server-Side Request Forgery) axios@1.6.8 (NPM) in Crowd Data Center

Tato závažná zranitelnost typu SSRF (Server-Side Request Forgery) a závislosti třetích stran byla zavedena ve verzích 6.0.4 a 6.1.2 produktu Crowd Data Center.

Zranitelnost způsobená verzí Axios 1.6.8 má CVSS skóre 8.6 a umožňuje neautentizovanému útočníkovi přístup k obsahu interních síťových prostředků. Pokud je prostředí spuštěno například na platformě Amazon EC2, může tato vada umožnit přístup k metadatovému zdroji, který poskytuje přístupová oprávnění a další potenciálně důvěrné informace. Útočník tak může vystavit aktiva ve vašem prostředí, která jsou zranitelná vůči zneužití

Hodnocení CVSS:

• Skóre: 7.3 (Vysoká závažnost)
• Vliv:
• Důvěrnost: Vysoký dopad
• Integrita: Nízký dopad
• Dostupnost: Nízký dopad
• Interakce uživatele: Nevyžaduje se

Doporučení Atlassianu:

Zákazníkům Crowd Data Center se doporučuje:

• Aktualizovat na nejnovější verzi.
• Pokud to není možné, aktualizujte svou instanci na některou z podporovaných verzí, ve kterých byla zranitelnost opravena:

• Crowd Data Center 6.0: Aktualizujte na verzi 6.0.6 nebo novější.
• Crowd Data Center 6.1: Aktualizujte na verzi 6.1.3 nebo novější

Zdroj: https://nvd.nist.gov/vuln/detail/CVE-2024-39338, https://jira.atlassian.com/browse/CWD-6317