[SECURITY-L] [RNP/CAIS Alerta #0149] Vulnerabilidades em produtos Atlassian

Segunda Junho 24 14:59:43 -03 2024

 CAIS-Alerta [24-06-2024]: Vulnerabilidades em produtos Atlassian

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para vulnerabilidades
críticas divulgadas pela Atlassian, reportando falhas recentemente
identificadas nas soluções Confluence, Crucible e Jira.

O CAIS recomenda fortemente que os administradores de ambientes que
utilizam esta solução, acessem o boletim do fornecedor para maiores
informações.

Confluence (Data Center e Server): é uma solução colaborativa de troca de
informações, fornecendo um ambiente de integração entre equipes e usuários
no compartilhamento de dados.

Jira (Data Center and Server): É uma solução de gerenciamento de projetos
utilizada pelas equipes para planejar, monitorar, lançar e dar suporte a
softwares. As equipes criam projetos de negócios, espaços compartilhados
para organizar, documentar e acompanhar o trabalho.

Destacamos logo abaixo duas vulnerabilidades do boletim da Atlassian:
CVE-2024-22257 e CVE-2024-21685.

1) Produtos e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Produtos e versões afetadas:

Confluence Data Center e Server
8.9.0;
8.8.0 a 8.8.1;
8.7.0 a 8.7.2;
8.6.0 a 8.6.2;
8.5.0 a 8.5.8 LTS;
8.4.0 a 8.4.5;
8.3.0 a 8.3.4;
8.2.0 a 8.2.3;
8.1.0 a 8.1.4;
8.0.0 a 8.0.4;
7.20.0 a 7.20.3;
7.19.0 a 7.19.21 LTS;
7.18.0 a 7.18.3;
7.17.0 a 7.17.5; e
Todas as versões anteriores.

Jira Data Center and Server
9.12.0 a 9.12.7 (LTS); e
9.4.0 a 9.4.20 (LTS)

2) Identificadores CVE (http://cve.mitre.org):

CVE-2024-22257; e
CVE-2024-21685

3) Descrição das vulnerabilidades:

CVE-2024-22257 - É uma vulnerabilidade classificada com uma pontuação CVSS:
8.2. Trata-se de um problema de controle de acesso quebrado (Broken Access
Control) no Spring Framework. Esta falha pode permitir que agentes
maliciosos não autenticados exponham ativos aos quais não deveriam ter
acesso.

CVE-2024-21685 - Classificada com uma pontuação CVSS de 7.4, é identificada
como uma falha de divulgação de informações (Information Disclosure
Vulnerability), de acordo com o comunicado da Atlassian. Esta
vulnerabilidade permite que um agente malicioso não autenticado acesse
informações confidenciais das instâncias vulneráveis.

4) Mitigação e correções disponíveis:

O fornecedor do produto recomenda a atualização das instâncias vulneráveis
para as últimas versões disponíveis, ou aplicação das correções
específicas. Para mais informações acesse o link
https://confluence.atlassian.com/security/security-bulletin-june-18-2024-1409286211.html
.

5) Mais informações:
https://confluence.atlassian.com/security/security-bulletin-june-18-2024-1409286211.html
https://spring.io/security/cve-2024-22257
https://www.securityweek.com/atlassian-patches-high-severity-vulnerabilities-in-confluence-crucible-jira/
https://nvd.nist.gov/vuln/detail/CVE-2024-22257
https://nvd.nist.gov/vuln/detail/CVE-2024-21685

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20240624/a65224a8/attachment-0001.html>