Atlassian Bamboo Sunucusu ve Veri Merkezi SQL Enjeksiyonu Güvenlik Açığı
Atlassian, Mart ayına yönelik Aylık Güvenlik Bülteni'ni yayımladı. Bu bülten, 24 yüksek öneme sahip güvenlik açığı ve bir kritik düzeyde güvenlik açığı (CVE-2024-1597) ile ilgileniyor.
CVE-2024-1597, Atlassian Bamboo Sunucusu ve Veri Merkezi'nde bir SQL enjeksiyonu güvenlik açığıdır. Bu açık, kritik bir öneme sahip olarak değerlendirilmiş ve 10 CVSS puanı almıştır. Açığın başarılı bir şekilde sömürülmesi, kimlik doğrulaması yapılmamış bir saldırganın hassas verileri dökmesine veya keyfi kodları çalıştırmasına olanak tanıyabilir.
Atlassian Bamboo Sunucusu, yazılım uygulamalarının yayın yönetimini otomatikleştiren bir sürekli entegrasyon (CI) ve sürekli dağıtım (CD) aracıdır.
Atlassian Bamboo Veri Merkezi, yazılım geliştirme ekiplerine otomatik iş akışları, sürekli dağıtım ve yerleşik felaket kurtarma ile yardımcı olan bir sürekli dağıtım Pipe hattıdır.
Güvenlik Ayrıntıları
Bu güvenlik açığı, 'org.postgresqlostgresql' adlı bağımlılıkta bulunmaktadır. Düşük karmaşıklıkta bir saldırganın, kimlik doğrulaması yapılmadan bu açığı kullanması mümkündür.
"SQL enjeksiyonu, zayıf bir SQL ifadesiyle bir parametre değerini iptal eden uygulama kodu ile birleştirilen varsayılan olmayan bağlantı özelliği preferQueryMode=simple kullanıldığında mümkündür."
Etkilenen sürümler
9.5.0'dan 9.5.1'e
9.4.0'tan 9.4.3'e
9.3.0'dan 9.3.6'ya
9.2.0'dan 9.2.11'e (LTS)
9.1.0'dan 9.1.3'e
9.0.0'dan 9.0.4'e
8.2.0'dan 8.2.9'a
Açık İle İlgili Kaynaklar
Loading...
jira.atlassian.com
SQL Injection via line comment generation
# Impact SQL injection is possible when using the non-default connection property `preferQueryMode=simple` in combination with application code that has a vulnerable SQL that negates a parameter v...
github.com
Security Bulletin - March 19 2024 | Atlassian Support | Atlassian Documentation
confluence.atlassian.com