Vulnerabilidades de ejecución remota de código (RCE) y denegación de servicio (DoS) en productos Atlassian

Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a Bitbucket Data Center & Server y Confluence Data Center & Server de Atlassian, que permitirían a un atacante autenticado realizar ejecución remota de código (RCE), provocar denegación de servicio (DoS) y comprometer la confidencialidad, integridad y disponibilidad del sistema. 

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las principales se detallan a continuación: 

• CVE-2023-22513, ambas de severidad “Alta” y con puntuación asignada de 8.5. Esta vulnerabilidad de Remote Code Execution (RCE) se debe a una falla de seguridad en Bitbucket Data Center & Server de Atlassian. Esto permitiría a un atacante autenticado realizar ejecución de código arbitrario en el sistema afectado. 

• CVE-2023-22512, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de seguridad en Confluence Data Center & Server de Atlassian. Esto permitiría a un atacante no autenticado a través de una instancia de Confluence conectada a una red y colocando la misma como no disponible, provocar ataques de denegación de servicio (DoS) en el sistema afectado. 

• CVE-2022-25647, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión de administración de parches en Jira Service Management Server de Atlassian. Esto permitiría a un atacante obtener acceso a información confidencial y exponer dichos datos en el entorno vulnerable del sistema afectado. 

• CVE-2023-28709, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión en la dependencia de terceros en Bamboo Data Center & Server de Atlassian. Esto permitiría a un atacante obtener acceso a información confidencial y exponer dichos datos en el entorno vulnerable del sistema afectado. 

Los productos afectados son:  

• Bitbucket Data Center & Server, versiones anteriores a 8.14.0. 
• Confluence Data Center & Server, versiones anteriores a 8.6.0. 
• Jira Service Management Server, versiones anteriores a 5.11.0. 
• Bamboo Data Center & Server, versiones anteriores a 9.3.1. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces: 

• https://www.atlassian.com/software/bitbucket/download-archives 
• https://www.atlassian.com/software/confluence/download-archives 
• https://www.atlassian.com/software/jira/service-management/download-archives 
• https://www.atlassian.com/software/bamboo/download-archives 

Referencias: 

• https://securityonline.info/cve-2023-22513-atlassian-bitbucket-data-center-and-server-rce-vulnerability/#google_vignette 
• https://nvd.nist.gov/vuln/detail/CVE-2023-22513 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22512 
• https://nvd.nist.gov/vuln/detail/CVE-2022-25647 
• https://nvd.nist.gov/vuln/detail/CVE-2023-28709 
• https://confluence.atlassian.com/security/security-bulletin-september-19-2023-1283691616.html 
• https://jira.atlassian.com/browse/JSDSERVER-14007 
• https://jira.atlassian.com/browse/BAM-22479 
• https://www.atlassian.com/software/bitbucket/download-archives 
• https://www.atlassian.com/software/confluence/download-archives 
• https://www.atlassian.com/software/jira/service-management/download-archives 
• https://www.atlassian.com/software/bamboo/download-archives