Alerta Masiva de Ciberseguridad por múltiples vulnerabilidades en productos de Atlassian para Inteligencia Artificial

  • 25/03/2024
  • 26
Alerta Masiva de Ciberseguridad por múltiples vulnerabilidades en productos de Atlassian para Inteligencia Artificial

Atlanssian Intelligence aprovecha la Inteligencia Artificial para maximizar el trabajo con Confluence, Bitbucket, Jira Service, entre otros.
La capacidad de esta funcionalidad permite aprovechar los datos de la organización para hacer que los insights (datos concretos que nos aportan información valiosa) sean accesibles, a la vez que simplifica los datos y facilita la toma de decisiones.

Fecha 20/03/2024
Importancia 5 - Crítica

Recursos Afectados
Bamboo Data Center and Server, versiones:

  • desde 9.5.0 hasta 9.5.1;
  • desde 9.4.0 hasta 9.4.3;
  • desde 9.3.0 hasta 9.3.6;
  • desde 9.2.0 hasta 9.2.11 LTS;
  • desde 9.1.0 hasta 9.1.3;
  • desde 9.0.0 hasta 9.0.4;
  • desde 8.2.0 hasta 8.2.9;
  • cualquier versión anterior.

 

Bitbucket Data Center and Server, versiones:

  • 8.18.0;
  • desde 8.17.0 hasta 8.17.1;
  • desde 8.16.0 hasta 8.16.2;
  • desde 8.15.0 hasta 8.15.3;
  • desde 8.14.0 hasta 8.14.4;
  • desde 8.13.0 hasta 8.13.5;
  • desde 8.12.0 hasta 8.12.3;
  • desde 8.11.0 hasta 8.11.1;
  • desde 8.10.0 hasta 8.10.1;
  • desde 8.9.0 hasta 8.9.9 LTS;
  • cualquier versión anterior excepto 7.21.22.

 

Confluence Data Center and Server, versiones:

  • 8.8.0;
  • desde 8.7.0 hasta 8.7.2;
  • desde 8.6.0 hasta 8.6.2;
  • desde 8.5.0 hasta 8.5.6 LTS;
  • desde 8.4.0 hasta 8.4.5;
  • desde 8.3.0 hasta 8.3.4;
  • desde 8.2.0 hasta 8.2.3;
  • desde 8.1.0 hasta 8.1.4;
  • desde 8.0.0 hasta 8.0.4;
  • desde 7.20.0 hasta 7.20.3;
  • desde 7.19.0 (LTS) hasta 7.19.19 LTS;
  • desde 7.18.0 hasta 7.18.3;
  • desde 7.17.0 hasta 7.17.5;
  • cualquier versión anterior.

 

Jira Software Data Center and Server, versiones:

  • desde 9.12.0 hasta 9.12.2 LTS;
  • desde 9.11.0 hasta 9.11.3;
  • desde 9.10.0 hasta 9.10.2;
  • desde 9.9.0 hasta 9.9.2;
  • desde 9.8.0 hasta 9.8.2;
  • desde 9.7.0 hasta 9.7.2;
  • 9.6.0;
  • desde 9.5.0 hasta 9.5.1;
  • desde 9.4.0 hasta 9.4.17 LTS;
  • desde 9.3.0 hasta 9.3.3;
  • desde 9.2.0 hasta 9.2.1;
  • desde 9.1.0 hasta 9.1.1;
  • 9.0.0;
  • cualquier versión anterior.

Descripción
Atlassian ha publicado un boletín de seguridad para marzo de 2024 que incluye 1 vulnerabilidad de severidad crítica y 24 altas. La explotación de estas vulnerabilidades podría permitir a un atacante realizar inyección de SQL, denegación de servicio, acceder a directorios restringidos y ejecutar código remoto.

Solución
Actualizar los productos afectados a las versiones que aparecen listadas en la columna ' Fixed Versions' de la tabla incluida en las referencias.

Detalle
La vulnerabilidad crítica podría permitir a un atacante realizar una inyección SQL en caso de emplear la opción 'PreferQueryMode=SIMPLE' en pgjdbc (PostgreSQL JDBC Driver). Es una vulnerabilidad en una dependencia de Bamboo no perteneciente a Atlassian. Se ha asignado el identificador CVE-2024-1597 para esta vulnerabilidad.