Atlassian เพิ่มช่องโหว่จำนวน 3 รายการในผลิตภัณฑ์ Confluence และ Bamboo

362/66 (IT) ประจำวันพฤหัสบดีที่ 27 กรกฎาคม 2566

Atlassian ได้ออกแก้ไขช่องโหว่ระดับ critical และระดับ high severity จำนวน 3 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ Confluence Server, Data Center และ Bamboo Data Center หากมีการใช้ประโยชน์จากช่องโหว่ได้สำเร็จอาจส่งผลให้มีการ remote code execution บนระบบที่มีช่องโหว่ โดยรายการช่องโหว่ที่บริษัทได้แก้ไขมีดังนี้

– หมายเลขช่องโหว่ CVE-2023-22505 (คะแนน CVSS: 8) RCE (Remote Code Execution) ใน Confluence Data Center & Server

– หมายเลขช่องโหว่ CVE-2023-22508 คะแนน (CVSS: 8.5) RCE (Remote Code Execution) ใน Confluence Data Center & Server

– หมายเลขช่องโหว่ CVE-2023-22506 คะแนน (CVSS: 7.5) Injection, RCE (Remote Code Execution) ใน Bamboo

ช่องโหว่ที่มีความรุนแรงที่สุด หมายเลข CVE-2023-22505 (คะแนน CVSS: 8.5) เป็นการ Remote Code Execution ซึ่งส่งผลกระทบต่อ Confluence Data Center and Server ในเวอร์ชัน 7.4.0 ของ Confluence Data Center & Server และบริษัทได้แก้ไขช่องโหว่ Injection และ RCE (Remote Code Execution) ที่มีความรุนแรงสูงที่หมายเลข CVE-2023-22506 คะแนน (CVSS: 7.5) ในเวอร์ชัน 8.0.0 ของ Bamboo Data Center ทำให้ผู้โจมตีที่ผ่านการ authenticated จะสามารถเแก้ไขโดยการเรียกระบบและสามารถ execute arbitrary code โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

บริษัทยังได้เปิดตัวการแก้ไขช่องโหว่ระดับ critical จำนวน 2 รายการใน Git ที่หมายเลข CVE-2022-41903 และหมายเลข CVE-2022-23531 ที่ส่งผลต่อ Bitbucket Server and Data Center, Bamboo Server and Data Center, Fisheye, Crucible และ Sourcetree

แหล่งข่าว ( https://securityaffairs.com/148803/security/atlassian-confluence-bamboo-flaws.html )