Atlassian 公司紧急呼吁用户注意 Bamboo Data Center 和 Server 更新修复的两个高危漏洞，其中一个影响 UriComponentsBuilder 依赖，可导致未认证攻击者执行服务器端请求伪造 (CSRF) 攻击。该漏洞编号为CVE-2024-22262，影响Data Center 和 Bamboo Server 版本 9.0.0、9.1.0、9.2.1、9.3.0、9.4.0、9.5.0和9.6.0，已在版本9.6.3 LTS 和9.2.14 LTS 中修复。

第二个漏洞是CVE-2024-21687，是文件包含漏洞，可导致攻击者“使该应用展示本地文件内容，或执行已本地存储在服务器中的其它文件。”该漏洞影响 Bamboo Data Center and Server 9.0.0、9.1.0、9.2.0、9.3.0、9.4.0、9.5.0 和 9.6.0版本。攻击者需要认证才能实施成功利用，已在版本9.6.4 LTS 和 9.2.16 LTS 中修复。

该漏洞还修复了 Confluence Data Center 和 Confluence Server 中的7个高危漏洞，其中5个是位于 Apache Commons Compress 依赖中的拒绝服务漏洞。Atlassian 公司表示，“该库易受攻击的版本存在于 Confluence 中，但并未遭利用。因此，我们的产品并非本身易受攻击以及面临风险。升级会迁移到该库的更新版本，但任何未来的升级皆如此。”这些漏洞已在 Confluence Data Center 版本8.9.4、8.5.12 LTS 和 7.19.25 LTS以及 Confluence Server 8.5.12 LTS 和 7.19.25 LTS 中修复。

Atlassian 公司还修复了与绑定的JDK相关但不影响 .zip/.tar.gz 发行版本的12个CVE漏洞。第三方依赖弱点在Confluence Data Center 和 Server 7.0.1版本中修复。

另外，Atlassian 公司还修复了一个存储型跨站脚本 (XSS) 漏洞，可导致认证攻击者在受害者浏览器中执行任意 HTML 或 JavaScript 代码。

Jira Software Data Center 和服务器以及 Jira Service Management Data Center 和 Server 修复了位于 XStream 依赖中的一个高危漏洞 (CVE-2022-41996)，它可被用于引发拒绝服务条件。该漏洞的补丁已包含在 Jira Software Data Center 和 Server 版本9.8.0、9.12.0 LTS 和9.4.18 LTS，以及Jira Service Management Data Center 和 Server 版本5.8.0、5.12.0 LTS 和 5.4.18 LTS 中。

Atlassian 公司并未提及这些漏洞是否已遭在野利用，但建议用户尽快应用这些补丁。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~