Atlassian 发布了 2024 年 8 月安全公告,详细介绍了影响 Bamboo、Confluence、Crowd 和 Jira 产品的九个高严重性漏洞。
Bamboo 数据中心和服务器收到了针对两个高严重性漏洞的补丁,其中包括一个经过身份验证的远程代码执行漏洞,其漏洞编号为 CVE-2024-21689。
第二个漏洞是一个拒绝服务 (DoS) 安全缺陷,影响 Bouncy Castle Jva 依赖项。该漏洞编号为 CVE-2024-29857,无需身份验证即可利用。
针对 Confluence 数据中心和服务器发布的补丁解决了两个高严重性安全缺陷,包括 Apache Tomcat (CVE-2024-34750) 中的 DoS 问题,该问题可能被未经身份验证的攻击者利用。
第二个缺陷是反射式跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 问题,编号为 CVE-2024-21690,它可能允许远程、未经身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。
该公司解释说,攻击者可以“强迫最终用户在当前已经过身份验证的 Web 应用程序上执行不必要的操作”。
Atlassian 解决了 Crowd Data Center 和 Server 中的三个高严重性 SSRF 漏洞。这三个漏洞被标记为 CVE-2024-22259、CVE-2024-22243 和 CVE-2024-22262,均会影响该产品使用的 Spring Framework。
该公司还宣布了针对 Jira 数据中心和服务器以及 Jira 服务管理数据中心和服务器的 Apache Tomcat 依赖项中高严重性漏洞的补丁。该漏洞编号为 CVE-2024-34750,可导致 DoS 攻击。
Atlassian 在其安全公告中表示,针对这些漏洞的补丁已于上个月发布。尽管该公司并未提及这些漏洞是否已被利用,但建议用户尽快更新其安装。
转自军哥网络安全读报
暂无评论内容