Η Atlassian πρόσφατα ανακοίνωσε ενημερώσεις ασφαλείας για ευπάθειες, συμπεριλαμβανομένων το Bamboo Data Center και τον διακομιστή του.

Η εν λόγω ευπάθεια παρακολουθείται ως CVE-2024-1597 και έχει βαθμολογία υψίστης σοβαρότητας CVSS 10,0, η οποία επιτρέπει την έγχυση SQL χωρίς την ανάγκη αλληλεπίδρασης με τον χρήστη. Η ρίζα του προβλήματος οφείλεται σε μια εξάρτηση από το org.postgresql:postgresql, παρά το γεγονός ότι η εταιρεία την κατέταξε σε χαμηλότερου επιπέδου κίνδυνο.

Η ευπάθεια περιγράφεται ως ένα σφάλμα SQL στο pgjdbc, το οδηγό PostgreSQL JDBC, ειδικά όταν χρησιμοποιείτε PreferQueryMode=SIMPLE.

Επηρεάζονται οι παρακάτω εκδόσεις του πριν από τις 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9 και 42.2.28. Το σφάλμα προκύπτει όταν μη προεπιλεγμένες ιδιότητες σύνδεσης συνδυάζονται με ευάλωτη SQL στον κώδικα εφαρμογής, επιτρέποντας σε έναν χάκερ χωρίς έλεγχο ταυτότητας να εκθέσει πληροφορίες και να απειλήσει το απόρρητο και την ακεραιότητα του χρήστη.

Οι εκδόσεις που επηρρεάζονται είναι οι εξής: 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 και 9.5.0. Η Atlassian επισημαίνει ότι τα προϊόντα του Data Center, συμπεριλαμβανομένου του Bamboo, δεν επηρεάστηκαν, επειδή δεν χρησιμοποιούν το PreferQueryMode=SIMPLE στις ρυθμίσεις σύνδεσης με τη βάση δεδομένων SQL.

Η εντοπισμός αυτής της ευπάθειας αποδίδεται στον αναλυτή ασφάλειας της SonarSource, Paul Gerste, ο οποίος το ανέφερε στην Atlassian. Για την αντιμετώπιση πιθανών απειλών, συνιστάται στους χρήστες να ενημερώνουν τις εφαρμογές τους στις πιο πρόσφατες εκδόσεις.