CVE-2023-22521: Atlassian Crowd Remote Code Execution Vulnerability
2023/11/21 SecurityOnline — ユーザー管理/アクセス制御のプラットフォームとして、人気を博している Atlassian Crowd に、深刻な脆弱性が判明した。この脆弱性 CVE-2023-22521 は、Crowd を利用する組織にとって深刻な脅威であり、早急な対応と修復が必要となっている。
脅威の本質 リモート・コード実行 (RCE)
この脆弱性 CVE-2023-22521 の悪用に成功した攻撃者は、脆弱なシステム上で任意のコードをリモートから実行する能力を持ってしまう。それにより攻撃者は、システムの制御を奪取し、データの機密性/完全性/可用性に甚大な損害を与える可能性がある。
影響範囲 影響を受けるクラウドバージョン
この脆弱性は、以下に示す Crowd Data Center/ Server のバージョンに影響する:
- Crowd Data Center/Server の 3.4.6/5.2.0
エクスプロイトの複雑性と影響の重大性
この脆弱性の CVSS スコアは 8.0 であり、深刻度が高いことを示している。なお、攻撃者はクラウド・インスタンスにアクセスするための、有効な認証情報を所有している必要があるが、一旦アクセスされると、攻撃者はユーザーの介入を必要とせずに、任意のコードを実行できる。
発見と対策
この脆弱性は、Cybersecurity の研究者 m1sn0w により発見され、Atlassian のバグバウンティ・プログラムを通じて公開された。この深刻な脆弱性に対処するためには、Crowd Data Center/ Server の最新バージョンへのアップグレードが必要だと、Atlassian は強く推奨している。また、早急なアップグレードが難しい場合は、指定されたサポート済みの修正バージョンを適用することもできる:
- Crowd Data Center/Server 3.4:5.1.6 以上のリリースへアップグレード
- Crowd Data Center/Server 5.2:5.2.1 以上のリリースへアップグレード
Atlassian の Sign sign-on と ID 管理を担当する Crowd に、深刻な CVE-2023-22521 が発生したとのことです。文中に、脆弱なバージョンとアップグレードに関する記載がありますので、ご利用のチームは、ご参照ください。よろしければ、Atlassian で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.