A Atlassian lançou patches para duas vulnerabilidades de execução remota de código (RCE) no Confluence Data Center and Server e outra no Bamboo Data Center.
O mais grave desses problemas, rastreado como CVE-2023-22508 (pontuação CVSS de 8,5), foi introduzido no Confluence versão 7.4.0. O segundo bug, rastreado como CVE-2023-22505 (pontuação CVSS de 8.0), foi introduzido no Confluence versão 8.0.0.
A exploração de ambas as vulnerabilidades pode permitir que um invasor execute código arbitrário com impacto na confidencialidade, integridade e disponibilidade. Nenhuma interação do usuário é necessária para exploração, mas o invasor precisa ser autenticado como um usuário válido.
Ambas as falhas foram corrigidas com o lançamento das versões 8.3.2 e 8.4.0 do Confluence. Os clientes incapazes de atualizar para uma dessas versões devem pelo menos atualizar para a versão 8.2.0, que corrige o CVE-2023-22508.
De acordo com a Atlassian, ambas as vulnerabilidades foram descobertas por usuários particulares e relatadas por meio do programa de recompensas de bugs da empresa.
A empresa também anunciou patches para CVE-2023-22506 (pontuação CVSS de 7,5), um bug RCE de alta gravidade no Bamboo Data Center. Introduzida na versão 8.0.0 do Bamboo, a vulnerabilidade foi corrigida nas versões 9.2.3 e 9.3.1 da solução corporativa.
“Essa vulnerabilidade de injeção e RCE permite que um invasor autenticado modifique as ações executadas por uma chamada do sistema e execute código arbitrário com alto impacto na confidencialidade, alto impacto na integridade, alto impacto na disponibilidade e nenhuma interação do usuário”, explica Atlassian.
Notas Atlassianas em seu consultivo que as falhas recém-descobertas são o resultado de um escopo expandido de suas políticas de divulgação de vulnerabilidade, anteriormente focadas em bugs primários de gravidade crítica.
“Embora essa mudança resulte em um aumento de visibilidade e divulgação, isso não significa que haja mais vulnerabilidades. Em vez disso, estamos adotando uma abordagem mais proativa para a transparência da vulnerabilidade e estamos comprometidos em fornecer aos nossos clientes as informações de que precisam para tomar decisões informadas sobre a atualização de nossos produtos”, diz a empresa.
Usuários e administradores são encorajados a aplicar os patches disponíveis o mais rápido possível. A exploração bem-sucedida desses bugs pode levar à aquisição do sistema, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) notas.
A Atlassian não menciona nenhum desses problemas sendo explorados em ataques.