![Atlassian-LOGO](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2022/07/Atlassian-LOGO-1.png)
Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a Bitbucket Data Center & Server y Confluence Data Center & Server de Atlassian, que permitirían a un atacante autenticado realizar ejecución remota de código (RCE), provocar denegación de servicio (DoS) y comprometer la confidencialidad, integridad y disponibilidad del sistema.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2023-22513, ambas de severidad “Alta” y con puntuación asignada de 8.5. Esta vulnerabilidad de Remote Code Execution (RCE) se debe a una falla de seguridad en Bitbucket Data Center & Server de Atlassian. Esto permitiría a un atacante autenticado realizar ejecución de código arbitrario en el sistema afectado.
- CVE-2023-22512, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de seguridad en Confluence Data Center & Server de Atlassian. Esto permitiría a un atacante no autenticado a través de una instancia de Confluence conectada a una red y colocando la misma como no disponible, provocar ataques de denegación de servicio (DoS) en el sistema afectado.
- CVE-2022-25647, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión de administración de parches en Jira Service Management Server de Atlassian. Esto permitiría a un atacante obtener acceso a información confidencial y exponer dichos datos en el entorno vulnerable del sistema afectado.
- CVE-2023-28709, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión en la dependencia de terceros en Bamboo Data Center & Server de Atlassian. Esto permitiría a un atacante obtener acceso a información confidencial y exponer dichos datos en el entorno vulnerable del sistema afectado.
Los productos afectados son:
- Bitbucket Data Center & Server, versiones anteriores a 8.14.0.
- Confluence Data Center & Server, versiones anteriores a 8.6.0.
- Jira Service Management Server, versiones anteriores a 5.11.0.
- Bamboo Data Center & Server, versiones anteriores a 9.3.1.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
- https://www.atlassian.com/software/bitbucket/download-archives
- https://www.atlassian.com/software/confluence/download-archives
- https://www.atlassian.com/software/jira/service-management/download-archives
- https://www.atlassian.com/software/bamboo/download-archives
Referencias:
- https://securityonline.info/cve-2023-22513-atlassian-bitbucket-data-center-and-server-rce-vulnerability/#google_vignette
- https://nvd.nist.gov/vuln/detail/CVE-2023-22513
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22512
- https://nvd.nist.gov/vuln/detail/CVE-2022-25647
- https://nvd.nist.gov/vuln/detail/CVE-2023-28709
- https://confluence.atlassian.com/security/security-bulletin-september-19-2023-1283691616.html
- https://jira.atlassian.com/browse/JSDSERVER-14007
- https://jira.atlassian.com/browse/BAM-22479
- https://www.atlassian.com/software/bitbucket/download-archives
- https://www.atlassian.com/software/confluence/download-archives
- https://www.atlassian.com/software/jira/service-management/download-archives
- https://www.atlassian.com/software/bamboo/download-archives