21 stycznia 2025 r. firma Atlassian opublikowała ostrzeżenie dotyczące bezpieczeństwa, aby uporać się z lukami w następujących produktach:
- Bitbucket Data Center and Server
- Confluence Data Center and Server
- Crowd Data Center and Server
- Jira Data Center and Server
- Jira Service Management Data Center and Server
Wśród luk zgłoszonych w niniejszym Biuletynie Bezpieczeństwa znajduje się 5 luk o wysokim stopniu zagrożenia, które zostały naprawione w nowych wersjach naszych produktów udostępnionych w zeszłym miesiącu.
| Ujawnione luki w zabezpieczeniach | |||||
| Produkt | Wersja | Aktualizacja | Opis/Link | CVE ID | CVSS |
| Bitbucket Data Center and Server | 9.4.0 to 9.4.1 (LTS) 9.3.0 to 9.3.2 9.2.0 to 9.2.1 9.1.0 to 9.1.1 9.0.0 to 9.0.1 8.19.0 to 8.19.13 (LTS) 8.18.0 to 8.18.1 8.17.0 to 8.17.2 8.16.0 to 8.16.4 8.15.0 to 8.15.5 8.14.0 to 8.14.6 8.13.0 to 8.13.6 8.12.0 to 8.12.6 8.11.0 to 8.11.6 8.10.0 to 8.10.6 8.9.0 to 8.9.23 (LTS) 8.8.0 to 8.8.7 8.7.1 to 8.7.5 8.6.2 to 8.6.4 | 9.5.0 tylko Data Center 9.4.2 (LTS) rekomendowane tylko dla Data Center 8.19.14 (LTS) Tylko Data Center 8.9.24 (LTS) | Third-Party Dependency in Bitbucket Server | CVE-2024-38819 | 7.5 Wysoka |
| DoS (Denial of Service) com.thoughtworks.xstream:xstream Dependency in Bitbucket Data Center and Server | CVE-2024-47072 | 7.5 Wysoka | |||
| Confluence Data Center and Server | 9.1.0 9.0.1 to 9.0.3 8.9.0 to 8.9.8 8.8.0 to 8.8.1 8.7.1 to 8.7.2 8.6.0 to 8.6.2 8.5.0 to 8.5.17 (LTS) 8.4.0 to 8.4.5 8.3.0 to 8.3.4 8.2.0 to 8.2.3 8.1.0 to 8.1.4 8.0.3 to 8.0.4 7.19.5 to 7.19.29 (LTS) | 9.2.0 (LTS) rekomendowane tylko dla Data Center 8.5.18 (LTS) 7.19.30 (LTS) | IDOR (Insecure Direct Object Reference) org.springframework:spring-webmvc Dependency in Confluence Data Center and Server | CVE-2024-38819 | 7.5 Wysoka |
| RCE (Remote Code Execution) org.apache.avro:avro Dependency in Confluence Data Center and Server | CVE-2024-47561 | 7.3 Wysoka | |||
| Crowd Data Center and Server | 6.1.2 6.0.4 | 6.2.0 rekomendowane tylko dla Data Center 6.1.3 Tylko Data Center 6.0.6 Tylko Data Center | SSRF (Server-Side Request Forgery) axios@1.6.8 (NPM) in Crowd Data Center | CVE-2024-39338 | 8.6 Wysoka |
| Jira Data Center and Server | 10.3.0 (LTS) 9.17.0 to 9.17.4 9.12.0 to 9.12.14 (LTS) | 10.3.1 to 10.3.2 (LTS) rekomendowane tylko dla Data Center 9.17.5 Tylko Data Center 9.12.15 to 9.12.17 (LTS) | RCE (Remote Code Execution) org.apache.avro:avro in Jira Software Data Center and Server | CVE-2024-47561 | 7.3 Wysoka |
| Jira Service Management Data Center and Server | 10.3.0 (LTS) 5.17.0 to 5.17.4 5.12.0 to 5.12.14 (LTS) 5.4.3 to 5.4.30 (LTS) | 10.3.1 to 10.3.2 (LTS) rekomendowane tylko dla Data Center 5.12.15 (LTS) 5.17.5 tylko Data Center | RCE (Remote Code Execution) org.apache.avro:avro in Jira Service Management Data Center and Server | CVE-2024-47561 | 7.3 Wysoka |
