Atlassian warnt vor neuen gravierenden Lücken

6. Dezember 2023 um 10:46
  • security
  • Lücke
  • business-software
  • atlassian
image
Illustration: Marek Piwnicki / Unsplash

Die Schwachstellen werden als kritisch eingestuft und ermöglichen die Ausführung von Remote-Code.

Atlassian hat 4 neue Schwachstellen publiziert. Diese betreffen nicht die Anfang Oktober bekannt gegebene Zero-Day-Lücke (CVE-2023-22515) in öffentlich zugänglichen Confluence Data-Center- und Server-Instanzen.
Laut Atlassian ermöglichen alle neuen Lücken die Ausführung von Remote-Code und werden vom Unternehmen mit einer Bewertung von CVSS 9.0 bis 9.8 als kritisch eingestuft.
Mit 9.8 werden CVE‑2023‑22523 und CVE‑2022‑1471 bewertet. Die erste Schwachstelle betrifft Jira Service Management Cloud, Server und Data Center. Die zweite wirkt sich laut Unternehmen auf mehrere Atlassian Data-Center- und Server-Produkte aus, welche die SnakeYAML-Bibliothek für Java verwenden.
Die Lücke CVE-2023-22522 in Confluence Data Center und Server ermögliche es einem Angreifer, "auch einem mit anonymem Zugriff, unsichere Benutzereingaben in eine Confluence-Seite zu injizieren", so Atlassian. CVE-2023-22524 schliesslich betrifft die Companion App für MacOS.
Die Lücken wurden von Atlassian in einem Security-Advisory veröffentlicht. Das Unternehmen empfiehlt allen Anwendern, auf die neueste oder eine nicht betroffene Version der Produkte zu wechseln.

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024