A Atlassian lançou correções para mais de duas dúzias de falhas de segurança, incluindo um bug crítico que afeta o Bamboo Data Center e Server, que pode ser explorado sem a necessidade de interação do usuário.

Identificada como CVE-2024-1597, a vulnerabilidade recebeu uma pontuação CVSS de 10.0, indicando severidade máxima. Descrita como uma falha de injeção SQL, ela está enraizada em uma dependência chamada org.postgresql:postgresql, o que, segundo a empresa, “apresenta um risco avaliado menor” apesar da criticidade.

“A vulnerabilidade da dependência org.postgresql:postgresql […] poderia permitir que um atacante não autenticado expusesse ativos em seu ambiente suscetíveis à exploração, o que tem alto impacto na confidencialidade, alto impacto na integridade, alto impacto na disponibilidade e não requer interação do usuário”, disse a Atlassian.

De acordo com uma descrição da falha no Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST, “pgjdbc, o Driver JDBC do PostgreSQL, permite que o atacante injete SQL se estiver usando PreferQueryMode=SIMPLE”. A empresa também enfatizou que o Bamboo e outros produtos Atlassian Data Center não são afetados pela CVE-2024-1597, pois não usam o PreferQueryMode=SIMPLE em suas configurações de conexão de banco de dados SQL.