9VSA23-00905-01 CSIRT informa de nuevas vulnerabilidades de riesgo alto en Jira, Confluence, Bitbucket y Bamboo de Atlassian

Resumen

El CSIRT de Gobierno comparte información de nuevas vulnerabilidades de riesgo alto, que afectan a los productos Jira, Confluence, Bitbucket y Bamboo, de Atlassian.

Vulnerabilidades

CVE-2023-22513

CVE-2023-22512

CVE-2023-28709

CVE-2023-24998

CVE-2023-25647

Impacto

Vulnerabilidades de riesgo alto

CVE-2023-22513: Vulnerabilidad de ejecución remota de código en Bitbucket. Un atacante autenticado puede explotarla sin interacción del usuario. CVSS: 8.5.

CVE-2023-22512: Vulnerabilidad de denegación de servicio (DoS) en Confluence Data Center y Server. CVSS: 7.5.

CVE-2023-38709: Vulnerabilidad en Apache Tomcat que puede ser explotada por un atacante para “exponer activos en un ambiente susceptible de explotación”. Afecta a Bamboo. CVSS: 7.5.

CVE-2023-25647: Vulnerabilidad que permite a un atacante exponer activos para una futura explotación. Afecta a Jira. CVSS: 7.5.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados
CVE-2023-22513: Bitbucket 8.0.0 a 8.14.0.

CVE-2023-22512: Confluence Data Center y Server de 5.6 hasta e incluyendo 8.5.0..

CVE-2023-38709: Bamboo de 8.1.12 a 9.2.4.

CVE-2023-25647: Jira desde 4.20.0, parchado en 4.20.25, 5.4.9, 5.9.2, 5.10.1 y 5.11.0.

Enlaces

https://confluence.atlassian.com/security/security-bulletin-september-19-2023-1283691616.html

https://jira.atlassian.com/browse/BSERV-14419

https://nvd.nist.gov/vuln/detail/CVE-2023-22513

https://nvd.nist.gov/vuln/detail/CVE-2023-22512

https://nvd.nist.gov/vuln/detail/CVE-2023-38709

https://nvd.nist.gov/vuln/detail/CVE-2022-25647

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00905-01