Atlassian ha lanzado parches para más de dos docenas de fallos de seguridadincluido un error crítico que afecta al servidor y al centro de datos de Bamboo y que podría explotarse sin requerir la interacción del usuario.
Seguimiento como CVE-2024-1597la vulnerabilidad tiene una puntuación CVSS de 10,0, lo que indica la gravedad máxima.
Descrito como una falla de inyección SQL, tiene su origen en una dependencia llamada org.postgresql:postgresql, como resultado de lo cual la compañía dijo que «presenta un riesgo evaluado menor» a pesar de su criticidad.
«Esta vulnerabilidad de dependencia de org.postgresql:postgresql […] podría permitir que un atacante no autenticado exponga activos en su entorno susceptibles a la explotación, lo que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, un alto impacto en la disponibilidad y no requiere interacción del usuario», Atlassian dicho.
De acuerdo a un descripción de la falla en la Base de datos nacional de vulnerabilidades (NVD) del NIST, «pgjdbc, el controlador JDBC de PostgreSQL, permite al atacante inyectar SQL si usa PreferQueryMode=SIMPLE». Las versiones de controladores anteriores a las que se enumeran a continuación se ven afectadas:
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9, y
- 42.2.28 (también corregido en 42.2.28.jre7)
«La inyección SQL es posible cuando se utiliza la propiedad de conexión no predeterminada preferQueryMode=simple en combinación con código de aplicación que tiene un SQL vulnerable que niega el valor de un parámetro», afirman los mantenedores. dicho en un aviso el mes pasado.
«No hay vulnerabilidad en el controlador cuando se utiliza el modo de consulta predeterminado. Los usuarios que no anulan el modo de consulta no se ven afectados».
Se dice que la vulnerabilidad Atlassian se introdujo en las siguientes versiones de Bamboo Data Center y Server:
- 8.2.1
- 9.0.0
- 9.1.0
- 9.2.1
- 9.3.0
- 9.4.0, y
- 9.5.0
La compañía también enfatizó que Bamboo y otros productos de Atlassian Data Center no se ven afectados por CVE-2024-1597 ya que no utilizan PreferQueryMode=SIMPLE en la configuración de conexión de su base de datos SQL.
Al investigador de seguridad de SonarSource, Paul Gerste, se le atribuye el mérito de descubrir e informar la falla. Se recomienda a los usuarios que actualicen sus instancias a la última versión para protegerse contra posibles amenazas.