Atlassian Fixes CVE-2024-21687 & CVE-2024-21686 Vulnerabilities in Bamboo and Confluence
2024/07/16 SecurityOnline — コラボレーション・ツールや生産性向上ツールを提供する Atlassian が、最近のセキュリティ勧告で公表したのは、広く利用されている Bamboo/Confluence に影響を及ぼす、2件の深刻度の高い脆弱性に関する情報である。これらの脆弱性の悪用に成功した攻撃者は、機密データを危険にさらし、一連のプラットフォームに依存している組織の業務を混乱させる可能性を手にする。
CVE-2024-21687 (CVSS 8.1):Bamboo におけるファイル・インクルードの脆弱性
最初の脆弱性 CVE-2024-21687 は、Bamboo Data Center/Server のバージョン 9.0.0〜9.6.3 に影響を及ぼす。このファイル・インクルードの脆弱性の悪用に成功した攻撃者は、ローカル・ファイルの閲覧やし、 サーバに保存されているファイルの実行などを可能にするため、 データの機密性と完全性に重大なリスクがもたらされる。
CVE-2024-21686 (CVSS 7.3): Confluence における蓄積型 XSS の脆弱性
2つ目の脆弱性 CVE-2024-21686 は、Confluence Data Center/Serve のバージョン 7.13 以上に影響を及ぼす。この蓄積型クロス・サイト・スクリプティング (XSS) の脆弱性により、一般のユーザーが閲覧する Web ページに対して、攻撃者による悪意のコードの注入が可能となり、不正アクセスやデータ盗難につながる可能性が生じる。
ただちにアップデートを!
Atlassian が、Bamboo/Confluence ユーザーに対して強く推奨しているのは、最新バージョンまたは修正バージョンにアップグレードし、この脆弱性による影響を緩和することだ。
これらの脆弱性への対処を怠ると深刻な侵害につながり、機密データや業務の完全性が損なわれる可能性が生じる。より詳細な情報とアップデートについては、Atlassian の公式セキュリティ・アドバイザリ・ページを参照してほしい。
Atlassian の Bamboo/Confluence に脆弱性が発生しました。いつも言われることですが、同社の製品に発生した脆弱性は、脅威アクターたちに狙われやすいようです。ご利用のチームは、アップデートを お急ぎください。よろしければ、Atlassian で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.