-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [24-06-2024]: Vulnerabilidades em produtos Atlassian

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para vulnerabilidades críticas divulgadas pela Atlassian, reportando falhas recentemente identificadas nas soluções Confluence, Crucible e Jira.

O CAIS recomenda fortemente que os administradores de ambientes que utilizam esta solução, acessem o boletim do fornecedor para maiores informações.

Confluence (Data Center e Server): é uma solução colaborativa de troca de informações, fornecendo um ambiente de integração entre equipes e usuários no compartilhamento de dados.

Jira (Data Center and Server): É uma solução de gerenciamento de projetos utilizada pelas equipes para planejar, monitorar, lançar e dar suporte a softwares. As equipes criam projetos de negócios, espaços compartilhados para organizar, documentar e acompanhar o trabalho.

Destacamos logo abaixo duas vulnerabilidades do boletim da Atlassian: CVE-2024-22257 e CVE-2024-21685.

1) Produtos e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Produtos e versões afetadas:

Confluence Data Center e Server
8.9.0;
8.8.0 a 8.8.1;
8.7.0 a 8.7.2;
8.6.0 a 8.6.2;
8.5.0 a 8.5.8 LTS;
8.4.0 a 8.4.5;
8.3.0 a 8.3.4;
8.2.0 a 8.2.3;
8.1.0 a 8.1.4;
8.0.0 a 8.0.4;
7.20.0 a 7.20.3;
7.19.0 a 7.19.21 LTS;
7.18.0 a 7.18.3;
7.17.0 a 7.17.5; e
Todas as versões anteriores.

Jira Data Center and Server
9.12.0 a 9.12.7 (LTS); e
9.4.0 a 9.4.20 (LTS)

2) Identificadores CVE (http://cve.mitre.org):

CVE-2024-22257; e
CVE-2024-21685

3) Descrição das vulnerabilidades:

CVE-2024-22257 - É uma vulnerabilidade classificada com uma pontuação CVSS: 8.2. Trata-se de um problema de controle de acesso quebrado (Broken Access Control) no Spring Framework. Esta falha pode permitir que agentes maliciosos não autenticados exponham ativos aos quais não deveriam ter acesso.

CVE-2024-21685 - Classificada com uma pontuação CVSS de 7.4, é identificada como uma falha de divulgação de informações (Information Disclosure Vulnerability), de acordo com o comunicado da Atlassian. Esta vulnerabilidade permite que um agente malicioso não autenticado acesse informações confidenciais das instâncias vulneráveis.

4) Mitigação e correções disponíveis:

O fornecedor do produto recomenda a atualização das instâncias vulneráveis para as últimas versões disponíveis, ou aplicação das correções específicas. Para mais informações acesse o link https://confluence.atlassian.com/security/security-bulletin-june-18-2024-1409286211.html.

5) Mais informações:
https://confluence.atlassian.com/security/security-bulletin-june-18-2024-1409286211.html
https://spring.io/security/cve-2024-22257
https://www.securityweek.com/atlassian-patches-high-severity-vulnerabilities-in-confluence-crucible-jira/
https://nvd.nist.gov/vuln/detail/CVE-2024-22257
https://nvd.nist.gov/vuln/detail/CVE-2024-21685

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
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=zejw
-----END PGP SIGNATURE-----