Mehrere Schwachstellen in Jira und Confluence behoben
Table of Contents
Atlassian hat in seinem aktuellen Sicherheitsbulletin vom Juni 2024 mehrere hochgradige Sicherheitslücken behoben. Die Schwachstellen wurden im Rahmen des Bug-Bounty-Programms, durch Penetrationstests und Scans von Drittanbieter-Bibliotheken entdeckt. Insgesamt wurden neun schwerwiegende Schwachstellen identifiziert und in den neuesten Versionen der betroffenen Produkte behoben.
Confluence Data Center und Server
- CVE-2024-22257: Improper Authorization in der spring-security-core Abhängigkeit. (CVSS 8.2)
- CVE-2024-22243, CVE-2024-22262, CVE-2024-22259: Server-Side Request Forgery (SSRF) in der spring-web Abhängigkeit. (CVSS 8.1)
- CVE-2024-29133, CVE-2024-29131: Denial of Service (DoS) in der commons-configuration2 Abhängigkeit. (CVSS 7.5)
Fisheye/Crucible
- CVE-2022-25647: Denial of Service (DoS) in der gson Abhängigkeit. (CVSS 7.5)
Jira Data Center und Server
- CVE-2024-21685: Informationsoffenlegung in Jira Core. (CVSS 7.4)
Jira Service Management Data Center und Server
- CVE-2024-21685: Informationsoffenlegung in Jira Service Management. (CVSS 7.4)
Atlassian empfiehlt dringend, alle betroffenen Systeme auf die neuesten Versionen zu aktualisieren:
- Confluence: Versionen 8.9.3, 8.5.11 (LTS), 7.19.24 (LTS)
- Fisheye/Crucible: Version 4.8.15
- Jira: Versionen 9.12.10 (LTS), 9.4.23 (LTS)
- Jira Service Management: Versionen 5.12.10 (LTS), 5.4.23 (LTS)
Weitere Informationen finden Sie im Atlassian Sicherheitsbulletin Juni 2024.