A Atlassian lançou patches para mais de duas dúzias de falhas de segurança, incluindo um bug crítico que afeta o Bamboo Knowledge Middle e o servidor que pode ser explorado sem exigir interação do usuário.
Rastreado como CVE-2024-1597a vulnerabilidade carrega uma pontuação CVSS de 10,0, indicando gravidade máxima.
Descrita como uma falha de injeção de SQL, está enraizada em uma dependência chamada org.postgresql:postgresql, e como resultado a empresa disse que “apresenta um risco avaliado mais baixo”, apesar da criticidade.
“Esta vulnerabilidade de dependência org.postgresql:postgresql (…) pode permitir que um invasor não autenticado exponha ativos em seu ambiente suscetíveis à exploração, o que tem alto impacto na confidencialidade, alto impacto na integridade, alto impacto na disponibilidade e não requer interação do usuário “, disse Atlassian.
De acordo com uma descrição da falha no Nationwide Vulnerability Database (NVD) do NIST, “pgjdbc, o driver PostgreSQL JDBC, permite que o invasor injete SQL se estiver usando PreferQueryMode = SIMPLE”. As versões de driver anteriores às listadas abaixo são afetadas –
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9, e
- 42.2.28 (também corrigido em 42.2.28.jre7)
“A injeção de SQL é possível ao usar a propriedade de conexão não padrão preferQueryMode=easy em combinação com o código do aplicativo que possui um SQL vulnerável que nega um valor de parâmetro”, disseram os mantenedores em um comunicado no mês passado.
“Não há vulnerabilidade no driver ao usar o modo de consulta padrão. Os usuários que não substituem o modo de consulta não são afetados.”
Diz-se que a vulnerabilidade Atlassian foi introduzida nas seguintes versões do Bamboo Knowledge Middle e Server –
- 8.2.1
- 9.0.0
- 9.1.0
- 9.2.1
- 9.3.0
- 9.4.0 e
- 9.5.0
A empresa também enfatizou que o Bamboo e outros produtos Atlassian Knowledge Middle não são afetados pelo CVE-2024-1597, pois não usam PreferQueryMode=SIMPLE em suas configurações de conexão de banco de dados SQL.
O pesquisador de segurança da SonarSource, Paul Gerste, recebeu o crédito por descobrir e relatar a falha. Os usuários são aconselhados a atualizar suas instâncias para a versão mais recente para se protegerem contra quaisquer ameaças potenciais.