Atlassian Fixed Six High-Severity Bugs In Confluence Data Center And Server
2024/06/20 SecurityAffairs — Atlassian は 2024年6月の Security Bulletin で、Confluence/Crucible/Jira に組内する9件の深刻度の高い脆弱性に対処した。今回のアップデートで修正された最も深刻な脆弱性は、Confluence Data Center/Server の org.springframework.security:spring-security-core 依存関係における不適切な認可の欠陥である。この脆弱性 CVE-2024-22257 の CVSS スコアは 8.2 となっている。
さらに、Confluence Data Center/Server のアップデートは、3件の SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-22243/CVE-2024-22262/CVE-2024-22259 および、2件の DDoS の脆弱性 CVE-2024-29133/CVE-2024-29131 にも対応している。
以下は、それらの解決された脆弱性のリストである:
すでに Atlassian は、Confluence Data Center/Server バージョン 8.9.3/8.5.11 (LTS)/7.19.24 (LTS) で、一連の脆弱性に対処している。さらに同社は、バージョン 4.8.15 のリリースにより、Fisheye/Crucible の DDoS の脆弱性 CVE-2022-25647 も修正している。
なお、Atlassian は、Jira Data Center/Server の脆弱性 CVE-2024-21685 も修正している。
| Jira Data Center and Server | 9.12.0 to 9.12.7 (LTS)9.4.0 to 9.4.20 (LTS) | 9.16.0 to 9.16.1 Data Center Only9.12.8 to 9.12.10 (LTS) recommended9.4.21 to 9.4.23 (LTS) | Information Disclosure in Jira Core Data Center | CVE-2024-21685 | 7.4 High |
| Jira Service Management Data Center and Server | 5.15.25.12.0 to 5.12.7 (LTS)5.4.0 to 5.4.20 (LTS) | 5.16.0 to 5.16.1 Data Center Only5.12.8 to 5.12.10 (LTS) recommended5.4.21 to 5.4.23 (LTS) | Information Disclosure in Jira Service Management Data Center and Server | CVE-2024-21685 | 7.4 High |
Atlassian のコメントによると、2024年6月のセキュリティ・アドバイザリで修正された脆弱性については、それらを悪用する攻撃は発生していないとのことだ。
Atlassian Confluence に9件の深刻な脆弱性が発生しました。いつも言われることですが、このプロダクトは、脅威アクターたちの標的にされやすいことで有名です。ご利用のチームには、速やかな対応が推奨されます。よろしければ、Atlassian Confluence で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.