Atlassian je ove sedmice najavio uvođenje zakrpa za 12 kritičnih i vrlo ozbiljnih ranjivosti u svojim Bamboo, Bitbucket, Confluence, Crowd i Jira proizvodima.
Kompanija je objavila ispravke za pet problema kritične ozbiljnosti u Confluence Data Center i Server i Crowd Data Center i Server koji su otkriveni u zavisnostima trećih strana koje se koriste u okviru dva proizvoda.
Ažuriranja objavljena za Confluence Data Center i Server rješavaju dvije kritične mane u Apache Tomcatu. Praćeni kao CVE-2024-50379 i CVE-2024-56337 (CVSS rezultat 9,8), ova dva problema mogu biti iskorištena od strane neovlaštenih napadača za postizanje daljinskog izvršavanja koda (RCE), upozorava kompanija.
Dvije greške su takođe otklonjene u Crowd Data Centru i Serveru, zajedno sa trećom kritičnom greškom u Apache Tomcatu, praćenom kao CVE-2024-52316 (CVSS ocena 9,8). Defekt bi mogao da dovede i do zaobilaženja autentifikacije od strane napadača koji nisu autentifikovani, kaže Atlassian.
Ažuriranja za Crowd također rješavaju ranjivost visoke ozbiljnosti uskraćivanja usluge (DoS) u ua-parser-js, koja se prati kao CVE-2022-25927, napominje Atlassian u svom bezbjednosnom biltenu iz februara 2025. godine.
Kompanija je uvela ispravke za dvije teške DoS greške u Bamboo Data Centru i Serveru, koje su uticale na buffer-e protokola (CVE-2024-7254) i XStream biblioteku (CVE-2024-47072), te za RCE bug visoke ozbiljnosti u Bitbucket Data Center i SDK Avpa, koji utječe na Apache Java Data Center i SDK. (CVE-2024-47561).
DoS bezbjednosni defekt u Protocol Buffers takođe je riješen u Jira Data Centru i Serveru, objavio je Atlassian.
Kompanija ne pominje da se bilo koja od ovih ranjivosti iskorištava protiv njenih proizvoda, ali poziva kupce da ažuriraju svoje instalacije što je prije moguće.
Izvor: SecurityWeek
