شرکت استرالیایی Atlassian، اصلاحیههای نرمافزاری را برای رفع چهار نقص مهم در نرمافزار خود منتشر کرد که در صورت exploit موفقیتآمیز، میتواند منجر به اجرای کد از راه دور شود.
این آسیبپذیریها به شرح موارد زیر است :
🔘 CVE-2022-1471 (امتیاز CVSS: 9.8): آسیبپذیری deserialization در کتابخانه SnakeYAML که میتواند منجر به اجرای کد از راه دور در چندین محصول شود.
🔘 CVE-2023-22522 (امتیاز CVSS: 9.0): آسیبپذیری اجرای کد از راه دور در مرکز داده Confluence و سرور Confluence (بر همه نسخهها 4.0.0 به بعد تأثیر میگذارد). Atlassian این آسیبپذیری را به عنوان یک نقص تزریق الگو (template injection) توصیف کرده که به نفوذگر احراز هویت شده، از جمله نفوذگری با دسترسی ناشناس، اجازه میدهد تا ورودی کاربر ناامن را به صفحه Confluence تزریق کند و منجر به اجرای کد شود.
🔘 CVE-2023-22523 (امتیاز CVSS: 9.8): آسیبپذیری اجرای کد از راه دور در Assets Discovery برای مدیریت خدمات Jira Cloud، سرور و مرکز داده (بر همه نسخهها تا مرکز داده 3.2.0-cloud / 6.2.0 تأثیر میگذارد، اما شامل مرکز داده و سرور 6.2.0 نمیشود). نقص Assets Discovery به نفوذگر اجازه میدهد تا اجرای کد از راه دور ممتاز را روی دستگاههایی که Assets Discovery agent نصب شده، انجام دهد.
🔘 CVE-2023-22524 (امتیاز CVSS: 9.6): آسیبپذیری اجرای کد از راه دور در برنامه Atlassian Companion برای macOS (بر همه نسخهها تا 2.0.0 تأثیر میگذارد، اما شامل نسخه 2.0.0 نمیشود). این نقص میتواند به نفوذگر اجازه دهد تا با استفاده از WebSockets، برای دور زدن از Atlassian Companion’s blocklocksatekeeper به اجرای کد دست یابد.
این توصیه تقریباً یک ماه پس از آن ارائه شد که Atlassian تصریح کرد که تمامی نسخههای Bamboo Data Center و محصولات سرور تحت تأثیر یک نقص امنیتی حیاتی فعال در Apache ActiveMQ به شناسه CVE-2023-46604 (امتیاز CVSS: 10.0)، قرار گرفتهاند. گفتنی است که وصلهها در نسخههای 9.2.7، 9.3.5 و 9.4.1 یا بالاتر منتشر شدهاند.
📌 با توجه به اینکه محصولات Atlassian در سالهای اخیر به بردارهای حمله سودآوری تبدیل شدهاند، اکیدا توصیه شده که کاربران بدون درنگ نسبت به به روزرسانی نصبهای آسیب دیده به نسخه وصله شده اقدام کنند.
