Atlassian выпускает исправления для исправления четырех критических уязвимостей в своем ПО, которые могут привести к удаленному выполнению кода (RCE) при успешной эксплуатации.
Одной из уязвимостей является CVE-2022-1471, оцененная по CVSS на 9,8, и связана с уязвимостью десериализации в библиотеке SnakeYAML, которая может привести к удаленному выполнению кода в нескольких продуктах Atlassian.
Другие уязвимости, такие как CVE-2023-22522, CVE-2023-22523 и CVE-2023-22524, затрагивают различные продукты Atlassian, включая Confluence Data Center, Confluence Server, Jira Service Management Cloud, Server и Data Center, а также приложение Atlassian Companion для macOS.
Atlassian описывает уязвимость CVE-2023-22522 как уязвимость внедрения шаблона, которая позволяет злоумышленнику реализовать небезопасный пользовательский ввод на страницу Confluence, что приводит к выполнению кода.
Уязвимость Assets Discovery позволяет злоумышленнику выполнять привилегированное удаленное выполнение кода на компьютерах с установленным агентом Assets Discovery.
CVE-2023-22524 может позволить злоумышленнику выполнить код, используя WebSockets для обхода черного списка Atlassian Companion и защиты macOS Gatekeeper.
Учитывая риск, связанный с этими уязвимостями, Atlassian настоятельно рекомендует пользователям как можно скорее обновить уязвимые установки до исправленной версии, чтобы минимизировать потенциальные угрозы безопасности.
Одной из уязвимостей является CVE-2022-1471, оцененная по CVSS на 9,8, и связана с уязвимостью десериализации в библиотеке SnakeYAML, которая может привести к удаленному выполнению кода в нескольких продуктах Atlassian.
Другие уязвимости, такие как CVE-2023-22522, CVE-2023-22523 и CVE-2023-22524, затрагивают различные продукты Atlassian, включая Confluence Data Center, Confluence Server, Jira Service Management Cloud, Server и Data Center, а также приложение Atlassian Companion для macOS.
Atlassian описывает уязвимость CVE-2023-22522 как уязвимость внедрения шаблона, которая позволяет злоумышленнику реализовать небезопасный пользовательский ввод на страницу Confluence, что приводит к выполнению кода.
Уязвимость Assets Discovery позволяет злоумышленнику выполнять привилегированное удаленное выполнение кода на компьютерах с установленным агентом Assets Discovery.
CVE-2023-22524 может позволить злоумышленнику выполнить код, используя WebSockets для обхода черного списка Atlassian Companion и защиты macOS Gatekeeper.
Учитывая риск, связанный с этими уязвимостями, Atlassian настоятельно рекомендует пользователям как можно скорее обновить уязвимые установки до исправленной версии, чтобы минимизировать потенциальные угрозы безопасности.
