Multiples vulnerabilidades en productos Atlassian
Fecha de publicación 22/05/2024
Identificador
INCIBE-2024-0268
Importancia
5 - Crítica
Recursos Afectados
- Bamboo Data Center y Servidor:
- de la versión 9.5.0 a la 9.5.1;
- de la versión 9.4.0 a la 9.4.4;
- de la versión 9.3.0 a la 9.3.6;
- de la versión 9.2.1 a la 9.2.13;
- de la versión 9.1.0 a la 9.1.13;
- de la versión 9.0.0 a la 9.0.4;
- Bitbucket Data Center y Servidor:
- de la versión 8.19.0 a la 8.19.2 (LTS);
- de la versión 8.18.0 a la 8.18.1;
- de la versión 8.17.0 a la 8.17.2;
- de la versión 8.16.0 a la 8.16.4;
- de la versión 8.15.0 a la 8.15.5;
- de la versión 8.14.0 a la 8.14.6;
- de la versión 8.13.0 a la 8.13.6;
- de la versión 8.12.0 a la 8.12.6;
- de la versión 8.11.0 a la 8.11.6;
- de la versión 8.10.0 a la 8.10.6;
- de la versión 8.9.0 a la 8.9.13;
- de la versión 8.8.0 a la 8.8.7;
- de la versión 8.7.0 a la 8.7.5;
- de la versión 8.6.0 a la 8.6.4;
- de la versión 8.5.0 a la 8.5.4;
- de la versión 8.4.0 a la 8.4.4;
- de la versión 8.3.0 a la 8.3.4;
- de la versión 8.2.0 a la 8.2.4;
- de la versión 8.1.0 a la 8.1.5;
- de la versión 8.0.1 a la 8.0.5;
- Confluence Data Center y Servidor:
- versión 8.9.0;
- de la versión 8.8.0 a la 8.8.1;
- de la versión 8.7.1 a la 8.7.2;
- de la versión 8.6.0 a la 8.6.2;
- de la versión 8.5.0 a la 8.5.8 (LTS);
- de la versión 8.4.0 a la 8.4.5;
- de la versión 8.3.0 a la 8.3.4;
- de la versión 8.2.0 a la 8.2.3;
- de la versión 8.1.0 a la 8.1.4;
- de la versión 8.0.0 a la 8.0.4;
- de la versión 7.20.0 a la 7.20.3;
- de la versión 7.19.0 a la 7.19.21 (LTS);
- Crowd Data Center y Servidor:
- de la versión 5.2.0 a la 5.2.4;
- de la versión 5.1.0 a la 5.1.9;
- de la versión 5.0.1 a la 5.0.11;
- Jira Data Center y Servidor:
- de la versión 9.14.0 a la 9.14.1;
- de la versión 9.13.0 a la 9.13.1;
- de la versión 9.12.0 a la 9.12.6 (LTS);
- de la versión 9.11.0 a la 9.11.3;
- de la versión 9.10.0 a la 9.10.2;
- de la versión 9.9.0 a la 9.9.2;
- de la versión 9.8.0 a la 9.8.2;
- de la versión 9.7.0 a la 9.7.2;
- versión 9.6.0;
- de la versión 9.5.0 a la 9.5.1;
- de la versión 9.4.0 a la 9.4.19 (LTS);
- de la versión 9.3.0 a la 9.3.3;
- de la versión 9.2.0 a la 9.2.1;
- de la versión 9.1.0v 9.1.1;
- versión 9.0.0;
- Jira Service Mangament Data Center y Servidor:
- de la versión 5.14.0 a la 5.14.1;
- de la versión 5.13.0v 5.13.1;
- de la versión 5.12.0 a la 5.12.7 (LTS);
- de la versión 5.11.0 a la 5.11.3;
- de la versión 5.10.0v 5.10.2;
- de la versión 5.9.0v 5.9.2;
- de la versión 5.8.0 a la 5.8.2;
- de la versión 5.7.0 a la 5.7.2;
- versión 5.6.0;
- de la versión 5.5.0 a la 5.5.1;
- de la versión 5.4.0 a la 5.4.20 (LTS);
- de la versión 5.3.0 a la 5.3.3;
- de la versión 5.2.0 a la 5.2.1;
- de la versión 5.1.0 a la 5.1.1;
- versión 5.0.0.
Descripción
Atlassian ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Solución
Las vulnerabilidades fueron corregidas en las siguientes versiones:
- Bamboo Data Center y Servidor:
- 9.6.0 LTS (solo para Data Center, versión recomendada);
- 9.5.2 a la 9.5.4 (solo para Data Center);
- 9.2.14 (LTS).
- Bitbucket Data Center y Servidor:
- 8.19.3 (LTS) (solo para Data Center, versión recomendada);
- 8.9.14 (LTS).
- Confluence Data Center y Servidor:
- 8.9.1 (solo para Data Center);
- 8.5.9 (LTS, versión recomendada);
- 7.19.22 (LTS).
- Crowd Data Center y Servidor:
- 5.3.0 a la 5.3.1 (solo para Data Center, versión recomendada).
- Jira Data Center y Servidor:
- 9.15.2 (solo para Data Center);
- 9.12.7 a la 9.12.8 (LTS) (versión recomendada);
- 9.4.20 a la 9.4.21 (LTS).
- Jira Service Mangament Data Center y Servidor:
- 5.15.2;
- 5.12.7 a la 5.12.8 (LTS, versión recomendada);
- 5.4.21 (LTS).
Detalle
Atlassian ha publicado su boletín de seguridad de mayo, en el que se incluyen 1 vulnerabilidad crítica (que afecta a 2 productos) y 35 altas. Todas ellas han sido corregidas en actualizaciones de software a lo largo del mes.
La vulnerabilidad crítica se trata de:
- CVE-2024-1597: vulnerabilidad de inyección de código SQL en una biblioteca de java para la base de datos PostgreSQL que permite a un atacante no autorizado a revelar activos del entorno, lo que provoca un gran impacto en la confidencialidad, integridad y disponibilidad. Además, no requiere de interacción por parte del usuario.
El resto de vulnerabilidades, cuya severidad no es crítica, pueden consultarse en las referencias.
Listado de referencias