Se ha reportado un aviso de seguridad sobre 3 vulnerabilidades en múltiples productos Atlassian, que permitirían a un atacante realizar omisión de autenticación en el sistema, ataques cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica”. Las mismas se detallan a continuación:
- CVE-2022-26136, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a un error en Servlet Filters utilizados por aplicaciones de terceros. Un atacante no autenticado podría realizar omisión de autenticación en el sistema afectado o ataques cross-site scripting (XSS).
- CVE-2022-26137, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en Servlet Filters. Un atacante no autenticado podría engañar al usuario enviando solicitudes URL especialmente diseñados y obtener acceso al sistema afectado.
- CVE-2022-26138, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de autenticación en Confluence Server. Un atacante remoto no autenticado podría obtener acceso al sistema afectado.
Algunos productos afectados de Atlassian son:
- Bamboo Server y Data Center, versiones 8.0.x a 8.0.9, 8.1.x a 8.1.8, 8.2.x a 8.2.4 y versiones anteriores a 7.2.9.
- Bitbucket Server y Data Center, versiones 7.7.x a 7.16.x, 7.17.x a 7.17.8, 7.18.x, 7.19.x a 7.19.5, 7.20.x a 7.20.2, 7.21.x a 7.21.2, 8.0.0, 8.1.0 y versiones anteriores a 7.6.16.
Puede acceder a la lista completa de productos afectados aquí.
Recomendamos acceder a las actualizaciones proporcionadas por Atlassian en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-atlassian
- https://nvd.nist.gov/vuln/detail/CVE-2022-26136
- https://nvd.nist.gov/vuln/detail/CVE-2022-26137
- https://nvd.nist.gov/vuln/detail/CVE-2022-26138
- https://confluence.atlassian.com/security/multiple-products-security-advisory-cve-2022-26136-cve-2022-26137-1141493031.html