-
06/07/2013
-
797
-
1.308 bài viết
Atlassian phát hành bản vá cho lỗ hổng có điểm CVSS 10
Atlassian vừa phát hành bản vá cho hơn 20 lỗ hổng, trong đó một lỗ hổng nghiêm trọng ảnh hưởng đến Bamboo Data Center và Server có thể bị tấn công mà không cần tương tác từ người dùng.
Được theo dõi với mã định danh CVE-2024-1597, điểm CVSS là 10/10, đây là lỗi SQL injection, tồn tại từ một phần phụ thuộc (dependency) gọi là org.postgresql : postgresql. Vì vậy theo như hãng này cho biết, mặc dù lỗ hổng này nghiêm trọng, nhưng theo đánh giá, rủi ro mà lỗ hổng này gây ra lại thấp hơn so với mức độ của nó.
Ngoài ra, CVE-2024-1597 có thể cho phép kẻ tấn công chưa xác thực tiết lộ các asset (tài nguyên) trong môi trường của nạn nhân dễ bị tấn công, ảnh hưởng cao đến tính bí mật, toàn vẹn, sẵn sàng và không cần tương tác từ người dùng.
Theo mô tả về lỗ hổng trong National Vulnerability Database (NVD) của NIST, "pgjdbc, PostgreSQL JDBC Driver, cho phép kẻ tấn công inject SQL nếu sử dụng PreferQueryMode=SIMPLE." Các phiên bản driver trước các phiên bản dưới đây bị ảnh hưởng:
Lỗ hổng Atlassian được cho là đã xuất hiện trong các phiên bản sau của Bamboo Data Center và Server:
Nhà nghiên cứu SonarSource Paul Gerste là người đã phát hiện và báo cáo lỗ hổng. Người dùng nên cập nhật lên phiên bản mới nhất để tránh khỏi các mối đe dọa tiềm ẩn.
Được theo dõi với mã định danh CVE-2024-1597, điểm CVSS là 10/10, đây là lỗi SQL injection, tồn tại từ một phần phụ thuộc (dependency) gọi là org.postgresql : postgresql. Vì vậy theo như hãng này cho biết, mặc dù lỗ hổng này nghiêm trọng, nhưng theo đánh giá, rủi ro mà lỗ hổng này gây ra lại thấp hơn so với mức độ của nó.
Ngoài ra, CVE-2024-1597 có thể cho phép kẻ tấn công chưa xác thực tiết lộ các asset (tài nguyên) trong môi trường của nạn nhân dễ bị tấn công, ảnh hưởng cao đến tính bí mật, toàn vẹn, sẵn sàng và không cần tương tác từ người dùng.
Theo mô tả về lỗ hổng trong National Vulnerability Database (NVD) của NIST, "pgjdbc, PostgreSQL JDBC Driver, cho phép kẻ tấn công inject SQL nếu sử dụng PreferQueryMode=SIMPLE." Các phiên bản driver trước các phiên bản dưới đây bị ảnh hưởng:
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9, và
- 42.2.28 (cũng đã được sửa trong 42.2.28.jre7)
Lỗ hổng Atlassian được cho là đã xuất hiện trong các phiên bản sau của Bamboo Data Center và Server:
- 8.2.1
- 9.0.0
- 9.1.0
- 9.2.1
- 9.3.0
- 9.4.0
- 9.5.0
Nhà nghiên cứu SonarSource Paul Gerste là người đã phát hiện và báo cáo lỗ hổng. Người dùng nên cập nhật lên phiên bản mới nhất để tránh khỏi các mối đe dọa tiềm ẩn.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: