澳洲软体公司Atlassian上周发布7月份安全公告,修补Bamboo、Confluence和Jira产品的安全漏洞,包含11项高风险漏洞。
这些漏洞来自Atlassian抓漏奖励方案、公司渗透测试流程,以及第三方单位的函式库扫瞄发现,涵括阻断服务(DoS)、跨站脚本攻击(XSS)及伺服器请求伪造(SSRF)等漏洞。
其中Atlassian CI/CD软体Bamboo Data Center及Server受到2项漏洞影响。第一为编号CVE-2024-21687的档案包含(file inclusion)漏洞,它让经验证的攻击者利用App显示本机档案内容或执行伺服器上储存的另一个档案,影响资讯外泄。另一则是CVE-2024-22262为伺服器org.springframework:spring-web Dependency元件的请求伪造(SSRF,Server-Side Request Forgery),让未经验证的攻击者造成环境中资产曝险。二项漏洞皆影响档案内容机密和完整性,且不需用户互动,风险值为8.1。
Atlassian内容管理软体Confluence产品线则修补Confluence Data Center及Server 7项漏洞。其中5项为影响org.apache.commons:commons-compress元件的相依性阻断服务(DoS)漏洞,能让未经授权的攻击者曝险使用者环境中的资产,影响档案的隐私及完整性,这些漏洞风险值同为7.5,编号分别为CVE-2019-12402、CVE-2021-36090、CVE-2021-35515、CVE-2021-35516、CVE-2021-35517。CVE-2023-22025则是第三方相依性漏洞,造成环境资产曝光,风险值7.4。
CVE-2024-21686是一储存型跨站脚本攻击(stored XSS)可将恶意程式储存在类似留言板的网站资料库中,以便在用户浏览器中执行恶意HTML或Javascript恶意程式码,以窃取后端资料库资料。风险值为7.3。
专案管理工具Jira则是在Data Center与Server,以及Service Management Data Center和Server二项产品的com.thoughtworks.xstream:xstream元件出现相依性阻断服务漏洞CVE-2022-41966,在没有用户互动下造成环境中档案曝险,风险值7.5。
软体公司已经释出最新版本,由于这批漏洞是在每月安全布告中公布,而非重大安全公告,意谓著较低风险。但Atlassian仍呼吁企业用户排定时间升级到最新版本以解决安全风险。