Se han reportado nuevos avisos de seguridad sobre tres vulnerabilidades que afectan a Confluence Data Center & Server y Bamboo Data Center de Atlassian, que permitirían a un atacante autenticado realizar ejecución remota de código (RCE), comprometer la confidencialidad, integridad y disponibilidad del sistema.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-22508, CVE-2023-22505, CVE-2023-22506, todas de severidad «Alta» y puntuación asignada de 8.5, 8.0 y 7.5 respectivamente. Esta vulnerabilidad de Remote Code Execution (RCE) se debe a una falla de seguridad en Confluence Data Center & Server y Bamboo Data Center de Atlassian. Esto permitiría a un atacante autenticado realizar ejecución de código arbitrario, además de comprometer la confidencialidad, integridad y disponibilidad del sistema afectado.
Los productos afectados son:
- Confluence Data Center & Server, versiones 7.19.0. y 8.0.0.
- Bamboo Data Center, versión 8.0.0.
Se recomienda acceder a las actualizaciones proporcionadas por el fabricante en los siguientes enlaces:
- Confluence Data Center & Server, update 8.2.0, 8.4.0, 8.3.2, 7.19.8
- Bamboo Data Center, update 9.2.3, 9.3.1
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-atlassian
- https://nvd.nist.gov/vuln/detail/CVE-2023-22508
- https://nvd.nist.gov/vuln/detail/CVE-2023-22505
- https://nvd.nist.gov/vuln/detail/CVE-2023-22506
- https://jira.atlassian.com/browse/CONFSERVER-88265
- https://jira.atlassian.com/browse/CONFSERVER-88221
- https://jira.atlassian.com/browse/BAM-22400
- https://www.atlassian.com/software/confluence/download-archives
- https://www.atlassian.com/software/bamboo/download-archives