Atlassian lanza parches de seguridad para corregir más de 24 fallas, incluyendo una vulnerabilidad crítica que afecta a Bamboo Data Center y Server. La CVE-2024-1597 es una falla de inyección SQL con una puntuación CVSS de 10.0, lo que significa que es extremadamente grave. La vulnerabilidad reside en una dependencia de org.postgresql:postgresql y puede ser explotada por un atacante no autenticado sin la necesidad de interacción del usuario.
La dependencia «podría permitir que un atacante no autenticado exponga los activos en su entorno susceptibles de explotación, lo que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, un alto impacto en la disponibilidad y no requiere interacción del usuario», dice Atlassian. El controlador JDBC de PostgreSQL permite la inyección SQL si se utiliza el modo de consulta preferido = SIMPLE y las versiones del controlador anteriores a 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9 y 42.2.28 (42.2.28.jre7 también está resuelto) se ven afectadas.
La vulnerabilidad afecta a las siguientes versiones de Bamboo Data Center y Server: 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 y 9.5.0. Los productos de Atlassian Data Center, incluyendo Bamboo, no se ven afectados por CVE-2024-1597 porque no usan PreferQueryMode = SIMPLE en la configuración de la conexión a su base de datos SQL.
El descubrimiento y reporte de la vulnerabilidad fue realizado por el investigador de seguridad de SonarSource, Paul Gerste. Atlassian recomienda a los usuarios actualizar sus instancias a la última versión para evitar cualquier posible amenaza. Mantener actualizados los parches de seguridad es esencial para proteger sus sistemas y datos de cualquier amenaza externa.
Vía The Hacker News
