Atlassian Patches Remote Code Execution Vulnerabilities in Confluence, Bamboo
2023/07/24 SecurityWeek — Atlassian は、Confluence Data Center/Server に存在する2つの RCE 脆弱性、および、Bamboo Data Center の脆弱性に対するパッチをリリースした。これらの脆弱性のうち、最も深刻なものは CVE-2023-22508 (CVSS:8.5) であり、Confluence 7.4.0 に影響を及ぼす。2つ目の脆弱性 CVE-2023-22505 (CVSS:8.0) は、Confluence 8.0.0 に影響を及ぼすものだ。これらの脆弱性の悪用に成功した攻撃者は、機密性/完全性/可用性に影響を与える任意のコードを実行する可能性がある。その悪用にはユーザーとのインタラクションは不要だが、攻撃者は有効なユーザーとして認証される必要がある。
この2つの脆弱性は、Confluence 8.3.2/8.4.0 のリリースで対処された。これらのバージョンのいずれかにアップグレードできない場合は、少なくとも CVE-2023-22508 へのパッチを適用した、バージョン 8.2.0 にアップデートする必要がある。
Atlassian によると、どちらの脆弱性も個人ユーザーにより発見され、同社のバグ・バウンティ・プログラムを通じて報告されたものだという。
また、同社は Bamboo Data Center に存在する、RCE 脆弱性 CVE-2023-22506 (CVSS:7.5) のパッチもリリースした。この、Bamboo 8.0.0 に影響を及ぼす脆弱性は、エンタープライズ向けソリューションの 9.2.3/9.3.1 で修正された。
Atlassian は、「このインジェクションおよび RCE の脆弱性により、認証された攻撃者はシステムコールにより実行されるアクションを変更し、機密性/完全性/可用性への影響が大きい任意のコードを実行できる」と詳述している。
さらに同社は、以前はファースト・パーティにフォーカスしていたが、これらの脆弱性が発見されたのは、脆弱性開示ポリシーの範囲を拡大した結果であると述べている。
同社は、「この変更により、可視化と開示が増加したが、脆弱性が増えたわけではない。我々は脆弱性の透明性について、より積極的なアプローチをとっており、製品のアップデートについて決断を下す際に、十分な情報を提供するようにしている」と述べている。
ユーザーと管理者に対しては、利用可能なパッチを、可能な限り早急に適用することが推奨される。これらの脆弱性の悪用に成功した攻撃者が、システムを乗っ取る可能性があると、米国の CISA は指摘している。
Atlassian の3つの脆弱性 CVE-2023-22508/CVE-2023-22505/CVE-2023-22506 ですが、お隣のキュレーション・チームにきいてみたところ、いずれも 7月21日にレポートをアップしているとのことでした。Atlassian の脆弱性は標的になりやすいので、ご注意ください。よろしければ、Atlassian で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.