Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Multiples vulnerabilidades en productos Atlassian

Fecha de publicación 22/05/2024
Identificador
INCIBE-2024-0268
Importancia
5 - Crítica
Recursos Afectados
  • Bamboo Data Center y Servidor: 
    • de la versión 9.5.0 a la 9.5.1;
    • de la versión 9.4.0 a la 9.4.4;
    • de la versión 9.3.0 a la 9.3.6;
    • de la versión 9.2.1 a la 9.2.13;
    • de la versión 9.1.0 a la 9.1.13;
    • de la versión 9.0.0 a la 9.0.4;
  • Bitbucket Data Center y Servidor: 
    • de la versión 8.19.0 a la 8.19.2 (LTS);
    • de la versión 8.18.0 a la 8.18.1;
    • de la versión 8.17.0 a la 8.17.2;
    • de la versión 8.16.0 a la 8.16.4;
    • de la versión 8.15.0 a la 8.15.5;
    • de la versión 8.14.0 a la 8.14.6;
    • de la versión 8.13.0 a la 8.13.6;
    • de la versión 8.12.0 a la 8.12.6;
    • de la versión 8.11.0 a la 8.11.6;
    • de la versión 8.10.0 a la 8.10.6;
    • de la versión 8.9.0 a la 8.9.13;
    • de la versión 8.8.0 a la 8.8.7;
    • de la versión 8.7.0 a la 8.7.5;
    • de la versión 8.6.0 a la 8.6.4;
    • de la versión 8.5.0 a la 8.5.4;
    • de la versión 8.4.0 a la 8.4.4;
    • de la versión 8.3.0 a la 8.3.4;
    • de la versión 8.2.0 a la 8.2.4;
    • de la versión 8.1.0 a la 8.1.5;
    • de la versión 8.0.1 a la 8.0.5;
  • Confluence Data Center y Servidor:
    • versión 8.9.0;
    • de la versión 8.8.0 a la 8.8.1;
    • de la versión 8.7.1 a la 8.7.2;
    • de la versión 8.6.0 a la 8.6.2;
    • de la versión 8.5.0 a la 8.5.8 (LTS);
    • de la versión 8.4.0 a la 8.4.5;
    • de la versión 8.3.0 a la 8.3.4;
    • de la versión 8.2.0 a la 8.2.3;
    • de la versión 8.1.0 a la 8.1.4;
    • de la versión 8.0.0 a la 8.0.4;
    • de la versión 7.20.0 a la 7.20.3;
    • de la versión 7.19.0 a la 7.19.21 (LTS);
  • Crowd Data Center y Servidor:
    • de la versión 5.2.0 a la 5.2.4;
    • de la versión 5.1.0 a la 5.1.9;
    • de la versión 5.0.1 a la 5.0.11;
  • Jira Data Center y Servidor:
    • de la versión 9.14.0 a la 9.14.1;
    • de la versión 9.13.0 a la 9.13.1;
    • de la versión 9.12.0 a la 9.12.6 (LTS);
    • de la versión 9.11.0 a la 9.11.3;
    • de la versión 9.10.0 a la 9.10.2;
    • de la versión 9.9.0 a la 9.9.2;
    • de la versión 9.8.0 a la 9.8.2;
    • de la versión 9.7.0 a la 9.7.2;
    • versión 9.6.0;
    • de la versión 9.5.0 a la 9.5.1;
    • de la versión 9.4.0 a la 9.4.19 (LTS);
    • de la versión 9.3.0 a la 9.3.3;
    • de la versión 9.2.0 a la 9.2.1;
    • de la versión 9.1.0v 9.1.1;
    • versión 9.0.0;
  • Jira Service Mangament Data Center y Servidor:
    • de la versión 5.14.0 a la 5.14.1;
    • de la versión 5.13.0v 5.13.1;
    • de la versión 5.12.0 a la 5.12.7 (LTS);
    • de la versión 5.11.0 a la 5.11.3;
    • de la versión 5.10.0v 5.10.2;
    • de la versión 5.9.0v 5.9.2;
    • de la versión 5.8.0 a la 5.8.2;
    • de la versión 5.7.0 a la 5.7.2;
    • versión 5.6.0;
    • de la versión 5.5.0 a la 5.5.1;
    • de la versión 5.4.0 a la 5.4.20 (LTS);
    • de la versión 5.3.0 a la 5.3.3;
    • de la versión 5.2.0 a la 5.2.1;
    • de la versión 5.1.0 a la 5.1.1;
    • versión 5.0.0.
Descripción

Atlassian ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.

Solución

Las vulnerabilidades fueron corregidas en las siguientes versiones:

  • Bamboo Data Center y Servidor:
    • 9.6.0 LTS (solo para Data Center, versión recomendada);
    • 9.5.2 a la 9.5.4 (solo para Data Center);
    • 9.2.14 (LTS).
  • Bitbucket Data Center y Servidor:
    • 8.19.3 (LTS) (solo para Data Center, versión recomendada);
    • 8.9.14 (LTS).
  • Confluence Data Center y Servidor:
    • 8.9.1 (solo para Data Center);
    • 8.5.9 (LTS, versión recomendada);
    • 7.19.22 (LTS).
  • Crowd Data Center y Servidor:
    • 5.3.0 a la 5.3.1 (solo para Data Center, versión recomendada).
  • Jira Data Center y Servidor:
    • 9.15.2 (solo para Data Center);
    • 9.12.7 a la 9.12.8 (LTS) (versión recomendada);
    • 9.4.20 a la 9.4.21 (LTS).
  • Jira Service Mangament Data Center y Servidor:
    • 5.15.2;
    • 5.12.7 a la 5.12.8  (LTS, versión recomendada);
    • 5.4.21 (LTS).
Detalle

Atlassian ha publicado su boletín de seguridad de mayo, en el que se incluyen 1 vulnerabilidad crítica (que afecta a 2 productos) y 35 altas. Todas ellas han sido corregidas en actualizaciones de software a lo largo del mes.

La vulnerabilidad crítica se trata de:

  • CVE-2024-1597: vulnerabilidad de inyección de código SQL en una biblioteca de java para la base de datos PostgreSQL que permite a un atacante no autorizado a revelar activos del entorno, lo que provoca un gran impacto en la confidencialidad, integridad y disponibilidad. Además, no requiere de interacción por parte del usuario.

El resto de vulnerabilidades, cuya severidad no es crítica, pueden consultarse en las referencias.

Listado de referencias