9VSA24-00958-01 CSIRT comparte información de vulnerabilidades en Atlassian Confluence Data Center and Server
El CSIRT de Gobierno comparte información de vulnerabilidades que afectan a Atlassian Confluence Data Center y Data Center and Server.
Resumen
El CSIRT de Gobierno comparte información de vulnerabilidades que afectan a varios productos de Atlassian, incluyendo una crítica en Confluence Data Center y Data Center and Server.
Vulnerabilidades
Impacto
Vulnerabilidad de riesgo crítico:
CVE-2023-22527: Error de inyección de templates que podría ser explotado para conseguir ejecución remota de código sin necesidad de autenticación. CVSS: 10.
Mitigación
CVE-2023-22527: La empresa indica que la mayor parte de las versiones aún con soporte no son afectadas por esta vulnerabilidad porque ha sido mitigada en actualizaciones regulares. Quienes tengan versiones desactualizadas deben actualizar de inmediato al menos a la versión 8.5.4 (LTS) para Confluence Data Center and Server, y 8.6.0 y 8.7.1 de Confluence Data Center.
Parchar según producto:
Bitbucket Data Center: 7.21.21, 8.9.9, 8.13.5, 8.14.4, 8.15.3, 8.16.2, 8.17.0 o más reciente
Bitbucket Server: 7.21.21, 8.9.9, 8.13.5, 8.14.4
Bamboo Data Center and Server : 9.2.9, 9.3.6, 9.4.2 o más reciente.
Jira Data Center and Server:9.4.13, 9.7.0 o más reciente
Jira Service Management Data Center and Server:4.20.30, 5.4.15, 5.12.2 o más reciente
Crowd Data Center and Server:5.2.2 o más reciente
Confluence Data Center:7.19.18, 8.5.5, 8.7.2 o más reciente
Confluence Server:7.19.18, 8.5.5
Productos afectados
CVE-2023-22527: Confluence Data Center y Confluence Server, versiones desactualizadas (8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x y 8.5.0-8.5.3)
Bitbucket Data Center
Bitbucket Server
Bamboo Data Center and Server
Jira Data Center and Server
Jira Service Management Data Center and Server
Crowd Data Center and Server
Confluence Data Center
Confluence Server
Enlaces
https://confluence.atlassian.com/security/security-bulletin-january-16-2024-1333335615.html
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA24-00958-01.