Kritična sigurnosna ranjivost otkrivena je u Atlassian-ovom popularnom klijentu za kontrolu verzija, Sourcetree, koja pogađa i Mac i Windows verzije.
Greška, identifikovana kao CVE-2024-21697, omogućava neautorizovanim napadačima da izvršavaju proizvoljni kod na daljinu, što predstavlja značajan rizik za korisnike.
Ranjivost, koja ima visoku ocjenu ozbiljnosti sa CVSS ocjenom 8,8, uvedena je u Sourcetree za Mac verziju 4.2.8 i Sourcetree za Windows verziju 3.4.19.
Ova greška u daljinskom izvršavanju koda ( RCE ) ima potencijal da ugrozi povjerljivost, integritet i dostupnost pogođenih sistema.
Istraživači sigurnosti su upozorili da bi uspješna eksploatacija ove ranjivosti mogla omogućiti napadačima potpunu kontrolu nad ciljanim sistemima.
Atlassian, kompanija koja stoji iza Sourcetreea, brzo je odgovorila na sigurnosnu prijetnju. Objavili su zakrpe kako bi riješili ranjivost i snažno pozivaju sve korisnike da odmah ažuriraju svoj softver.
Faw Profile
- CVE ID: CVE-2024-21697
- Utječe na verziju/e: 4.2.8, 3.4.19
- CVSS bod: 8.8
- CVSS ozbiljnost: visoka
- Izvor ranjivosti: Testiranje penetracije
- Klase ranjivosti: RCE (Remote Code Execution), Sigurnosna pogrešna konfiguracija
- Pogođeni proizvod(i): Sourcetree za Mac, Sourcetree za Windows
Vektor napada zahtijeva interakciju korisnika, ali specifičnosti načina na koji se ranjivost može pokrenuti nisu otkrivene kako bi se spriječila daljnja eksploatacija.
Fiksne verzije su:
- Izvorno stablo za Mac: verzija 4.2.9 ili novija
- Izvorno stablo za Windows: verzija 3.4.20 ili novija
Korisnicima koji ne mogu izvršiti nadogradnju na najnovije verzije savjetuje se da ažuriraju na ova specifična zakrpljena izdanja na minimum.
Ovo bezbjednosno pitanje je deo većeg skupa ranjivosti koje se bavi Atlassianovim bezbednosnim biltenom iz novembra 2024. Bilten uključuje detalje o 19 ranjivosti visoke ozbiljnosti koje su ispravljene u raznim Atlassian proizvodima.
Otkrivanje ove ranjivosti naglašava tekuće izazove u sigurnosti softvera , posebno za široko korišćene razvojne alate.
Atlassian nije prijavio nijedan slučaj da se ova ranjivost iskorištava u divljini. Međutim, s obzirom na ozbiljnost i potencijalni uticaj greške, korisnici se snažno ohrabruju da poduzmu hitne mjere kako bi zaštitili svoje sisteme.
Za one koji koriste Sourcetree u svojim razvojnim tokovima rada, ključno je provjeriti verziju koja se trenutno koristi i ažurirati što je prije moguće. Korisnici mogu preuzeti najnovije verzije Sourcetree-a za Mac i Windows sa službene Atlassian web stranice.
Izvor: CyberSecurityNews