Atlassian Publie des Correctifs Logiciels Critiques Pour Prévenir les Attaques à Distance

La liste des vulnérabilités se trouve ci-dessous :

– CVE-2023-22522 : une faille d’injection de modèle qui permet à un attaquant authentifié, y compris avec un accès anonyme, d’injecter des données utilisateur non sécurisées dans une page Confluence, ce qui entraîne l’exécution de code.
– Faille dans Assets Discovery : permet à un attaquant de réaliser une exécution de code à distance privilégiée sur des machines où l’agent Assets Discovery est installé.
– CVE-2023-22524 : pourrait permettre à un attaquant d’exécuter du code en utilisant WebSockets pour contourner la liste de blocage d’Atlassian Companion et les protections de macOS Gatekeeper.

Cet avis intervient près d’un mois après que l’éditeur australien a révélé que toutes les versions de ses produits Bamboo Data Center et Server sont affectées par une faille de sécurité critique activement exploitée dans Apache ActiveMQ (CVE-2023-46604, CVSS score : 10.0). Des correctifs ont été publiés dans les versions 9.2.7, 9.3.5 et 9.4.1 ou ultérieures.

Les produits Atlassian étant devenus des vecteurs d’attaque lucratifs ces dernières années, il est fortement recommandé aux utilisateurs de mettre rapidement à jour les installations concernées vers une version corrigée.