A Atlassian lançou correções para quatro falhas críticas em seus softwares que, se exploradas com sucesso, podem resultar em execução remota de código. As vulnerabilidades afetam vários produtos da empresa e têm pontuações de gravidade elevadas no Sistema de Pontuação de Vulnerabilidades Comuns (CVSS).
As vulnerabilidades corrigidas incluem a CVE-2022-1471, uma falha de desserialização na biblioteca SnakeYAML que pode resultar em execução remota de código em vários produtos, com uma pontuação CVSS de 9.8.
Outra vulnerabilidade crítica, a CVE-2023-22522, com pontuação CVSS de 9.0, afeta o Confluence Data Center e Confluence Server, impactando todas as versões a partir da 4.0.0. A CVE-2023-22523, com pontuação CVSS de 9.8, é uma vulnerabilidade de execução remota de código no Assets Discovery para Jira Service Management Cloud, Server e Data Center, afetando todas as versões até, mas não incluindo, 3.2.0-cloud / 6.2.0 data center e server.
Por fim, a CVE-2023-22524, com pontuação CVSS de 9.6, é uma vulnerabilidade de execução remota de código no aplicativo Atlassian Companion para macOS, afetando todas as versões até, mas não incluindo, 2.0.0.
Este anúncio ocorre quase um mês após a empresa de software australiana revelar que todas as versões de seus produtos Bamboo Data Center e Server são impactadas por uma falha de segurança crítica no Apache ActiveMQ (CVE-2023-46604, pontuação CVSS: 10.0), que estava sendo ativamente explorada.
Correções foram lançadas nas versões 9.2.7, 9.3.5 e 9.4.1 ou posteriores. Com os produtos da Atlassian se tornando vetores de ataque lucrativos nos últimos anos, é altamente recomendável que os usuários atualizem rapidamente as instalações afetadas para uma versão corrigida.
