Atlassian đã phát hành các bản tư vấn bảo mật cho ba lỗ hổng trong Máy chủ & Trung tâm dữ liệu Confluence và Máy chủ & Trung tâm dữ liệu Bamboo. Các lỗ hổng được gán mã định danh lần lượt là CVE-2023-22505, CVE-2023-22508 và CVE-2023-22506, cho phép kẻ tấn công được xác thực thực thi mã tùy ý có ảnh hưởng lớn đến tính bảo mật, tính toàn vẹn và tính khả dụng.
Lỗ hổng đầu tiên: CVE-2023-22505, là lỗ hổng Thực thi mã từ xa (RCE) có mức độ nghiêm trọng cao xuất hiện trong phiên bản 8.0.0 của Máy chủ & Trung tâm dữ liệu Confluence. Với điểm CVSS là 8, nó là một mối đe dọa nghiêm trọng cho phép kẻ tấn công được xác thực thực thi mã tùy ý, ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng, tất cả đều không có sự tương tác của người dùng.
Lỗ hổng ảnh hưởng đến các phiên bản 8.0.0 trở lên, ngoại trừ bản 8.3.2 và 8.4.0 hoặc các bản cao hơn.
Lỗ hổng thứ hai: CVE-2023-22508, xuất hiện lần đầu trong phiên bản 7.4.0 của Máy chủ & Trung tâm dữ liệu Confluence. Với điểm CVSS là 8,5, nó cũng cho phép kẻ tấn công được xác thực thực thi mã tùy ý, tạo ra một loạt rủi ro tương tự đối với tính bảo mật, tính toàn vẹn và tính khả dụng, tất cả đều không có tương tác của người dùng. Lỗ hổng ảnh hưởng đến các phiên bản từ 7.19.8 trở lên, ngoại trừ 8.2.0 và các phiên bản cao hơn.
Lỗ hổng thứ ba: CVE-2023-22506, nằm trong Máy chủ dữ liệu Bamboo tạo ra mối đe dọa kép khi kết hợp tiêm mã với thực thi mã từ xa làm tăng mức độ rủi ro cho hệ thống.Lỗ hổng này tồn tại trong phiên bản 8.0.0 của Bamboo Data Center có mức độ nghiêm trọng cao, điểm CVSS 7,5 cho phép kẻ tấn công đã xác thực chỉnh sửa các hành động cuộc gọi đến hệ thống và thực thi mã tùy ý mà không cần tương tác người dùng.Các phiên bản Bamboo Data Center và Server từ 8.0.0 trở lên đều bị ảnh hưởng, ngoại trừ 9.2.3 và 9.3.1 và các phiên bản tiếp theo.
Người dùng nên nâng cấp lên phiên bản mới nhất của các sản phẩm này càng sớm càng tốt.