پچ Confluence و پچ Bamboo؛ آسیب‌پذیری‌های Atlassian پچ شدند

پچ‌های امنیتی شرکت Atlassian برای رفع مشکلات بحرانی سامانه‌های Confluence و Bamboo منتشر شد!

شرکت Atlassian در زمینه توسعه نرم‌افزارهای مدیریت پروژه و محصولات مرتبط فعالیت می‌کند. Confluence و Bamboo دو مورد از محصولات این شرکت هستند. Confluence نوعی سامانه مدیریت محتوا است که به کاربران اجازه می‌دهد تا به صورت همزمان اطلاعات را به اشتراک بگذارند. Bamboo نیز نوعی سیستم CI/CD برای توسعه نرم‌افزارهای جاوا و دات‌نت است که به تیم‌های توسعه نرم‌افزار اجازه می‌دهد تا برنامه‌های خود را به صورت خودکار تست، بسته‌بندی و ارسال کنند. اخیراً این شرکت با اعلام آسیب‌پذیری‌هایی در محصولات خود شامل  Confluence  و Bamboo، بروزرسانی‌هایی را برای رفع این مشکلات ارائه داده است.

آسیب‌پذیری‌های گزارش شده سبب می‌شدند تا مهاجم بتواند از راه دور در سیستم‌های آسیب‌پذیر کد مورد نظر خود را اجرا کند. شرکت Atlassian بروزرسانی‌هایی را منتشر کرده است تا سه خطای امنیتی را در سامانه‌های Confluence و Bamboo رفع کند. این سه خطا به شرح زیر هستند:

• CVE-2023-22505: (امتیاز CVSS : 8.0 ) - RCE (اجرای کد از راه دور) در سرور Confluence (در نسخه‌های 8.3.2 و 8.4.0 رفع شده است).
• CVE-2023-22508: (امتیاز CVSS : 8.5) - RCE (اجرای کد از راه دور) در سرور Confluence (در نسخه‌های 7.19.8 و 8.2.0 رفع شده است).
• CVE-2023-22506: (امتیاز CVSS : 7.5) - RCE (اجرای کد از راه دور) در سرور Bamboo (در نسخه‌های 9.2.3 و 9.3.1 رفع شده است).

به گزارش The Hacker News شرکت Atlassian  اعلام کرده است که CVE-2023-22505 و CVE-2023-22508 به یک مهاجم احراز هویت شده، اجازه می‌دهند تا بدون نیاز به تعامل کاربر، کد دلخواه خود را اجرا و به سیستم دسترسی پیدا کند که این موضوع، محرمانگی و صحت داده‌ها را به طور جدی به خطر می‌اندازد. این آسیب‌پذیری‌ها در نسخه 8.0.0 و 7.4.0 نرم‌افزار کشف شدند.

CVE-2023-22506  در نسخه 8.0.0 از سامانه Bamboo کشف شده است و به یک مهاجم احراز هویت شده، اجازه می‌دهد که با تأیید هویت، عملیات یک فراخوانی سیستم را تغییر داده و کد دلخواه خود را اجرا کند تا بتواند به دستاوردی مانند دو آسیب پذیری قبل دست یابد.

در ژانویه امسال، این شرکت استرالیایی پچ‌هایی را برای رفع یک آسیب‌پذیری جدی (CVE-2023-22501، امتیاز CVSS: 9.4) در سرویس مدیریت Jira عرضه کرد که با استفاده از آن مهاجم می‌توانست خودش را به عنوان کاربر دیگری جای بزند و به صورت غیرمجاز به سامانه‌های آسیب‌پذیر دسترسی پیدا کند.

چند هفته بعد، این شرکت پچ‌هایی را برای رفع دو خطای بسیار جدی overflow ( CVE-2022-41903 و CVE-2022-23531) در گیت‌هاب منتشر کرد. سامانه‌های Bitbucket, Bamboo, Fisheye, Crucible  و  Sourcetree تحت تاثیر این دو آسیب‌پذیری قرار گرفته‌اند.
با توجه به اینکه در سال‌های اخیر آسیب‌پذیری‌های امنیتی در سرورهای Atlassian هدف هکرها قرار گرفته‌اند، توصیه می‌شود که کاربران به سرعت پچ‌های امنیتی را اعمال کنند تا از داده‌های خود در مقابل تهدیدات احتمالی محافظت کنند.