Atlassian lanza parches de seguridad para vulnerabilidades en varios de sus productos

Atlassian ha publicado actualizaciones de seguridad que mitigan múltiples vulnerabilidades en sus productos Jira y Confluence, que permitirían a un atacante la divulgación y manipulación de datos, así como realizar escalamiento de privilegios.

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta”, 1 (una) de severidad “Media” y 4 (cuatro) de severidad “Baja. Estas son, CVE-2021-43940CVE-2021-43941CVE-2021-43948CVE-2021-43953CVE-2021-43950CVE-2021-43952. Las principales se detallan a continuación:

  • CVE-2021-43940 de severidad alta, con una puntuación de 7. Esta vulnerabilidad se relaciona a un ataque de secuestro de DLL (dynamic link library), que manipulando el instalador de Confluence permitiría a un atacante local autenticado obtener privilegios elevados en el sistema afectado.
  • CVE-2021-43941 de severidad media, con una puntuación de 6.5. Esta vulnerabilidad se relaciona con ataques de falsificación de solicitudes entre sitios (CSRF) en el complemento jira-importers, que permitiría a un atacante remoto modificar varios recursos como los archivos CsvFieldMappingsPage.jspa e ImporterValueMappings Page.jspa.

Los productos de Atlassian afectados de la línea Jira y Confluence en sus versiones son:

  • Atlassian Jira Service Management Server y Data Center anteriores a 4.21.0
  • Atlassian Confluence Server y Data Center 7.4.x anteriores a 7.4.10 y 7.5.x anterior a la 7.12.3
  • Atlassian Jira Server y Data Center versiones 8.13.x anteriores a 8.13.15, 8.14.x anteriores a la 8.20.3 y 8.21.x anteriores a 8.21.0

Recomendamos instalar las actualizaciones correspondientes provistas por Atlassian en los siguientes enlaces:

Referencias:

Compartir: