-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [26-07-2023] - Vulnerabilidades nos produtos Confluence e Bamboo (Data Center & Server) Prezados(as), O CAIS alerta a comunidade de segurança cibernética para um conjunto de vulnerabilidades críticas divulgadas pela Atlassian que afetam as soluções colaborativas Confluence e Bamboo ((Data Center & Server). Confluence (Data Center & Server): É uma solução colaborativa de troca de informações, fornecendo um ambiente de integração entre equipes e usuários no compartilhamento de dados. Bamboo (Data Center & Server): É uma plataforma de integração e implantação contínua que unifica compilações, testes e lançamentos automatizados em um único fluxo de trabalho. 1) Produto(s) e versões afetada(s); 2) Identificador CVE (http://cve.mitre.org); 3) Descrição da vulnerabilidade e formas de exploração; 4) Mitigação e correções disponíveis; e 5) Maiores Informações 1) Produto(s) e versões afetada(s); Confluence Data Center & Server versões iguais e superiores 7.4.0 e 8.0.0 Bamboo Data Center & Server versões iguais e superiores 8.0.0 2) Identificador CVE (http://cve.mitre.org); CVE-2023-22505 CVE-2023-22508 CVE-2023-22506 3) Descrição da vulnerabilidade e formas de exploração; Em seu boletim de segurança recente, a Atlassian informa a correção de três vulnerabilidades de alta gravidade. Essas vulnerabilidades foram identificadas nos produtos Confluence Data Center & Server e Bamboo Data Center & Server: CVE-2023-22505 e CVE-2023-22508 - Essa vulnerabilidade permite que um agente malicioso autenticado execute código arbitrário com alto impacto na confidencialidade, integridade e disponibilidade do sistema, sem a necessidade de interação do usuário para exploração. Estas vulnerabilidades foram classificadas respectivamente com CVSS 8 e 8.5. CVE-2023-22506 - Essa vulnerabilidade permite que um agente malicioso autenticado modifique as ações realizadas por uma chamada específica do sistema, possibilitando a execução de código arbitrário, impactando na confidencialidade, integridade e disponibilidade dos sistemas afetados. Esta vulnerabilidade foi classificada com CVSS 7.0. 4) Mitigação e correções disponíveis; Recomenda-se executar as atualizações de correção disponibilizadas pelo fornecedor do produto. 5) Maiores Informações: https://confluence.atlassian.com/security/security-bulletin-july-18-2023-1251417643.html https://nvd.nist.gov/vuln/detail/CVE-2023-22505 https://nvd.nist.gov/vuln/detail/CVE-2023-22508 https://nvd.nist.gov/vuln/detail/CVE-2023-22506 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://cais.rnp.br/ # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJkwUO3CRDU96v9U5pXgAAASD0P/RPjGAoqkDaXHACqrrI9 IzODcQZEMU1zl5TOkcW0w+7HRwpT8EoGJouf50xQU4KBErzJumQNUc92/El3 cxsxhO+7H8biPbGXwVGenaNmGujJ26jCsZuh/wxrWITlkgBJlNoVnZwICRg8 BJ/2mXo3ENwYeSLGBWkubhulCwVWqNWv+fGtvS8AiLDy81uYmr/DL/xjAIAx UH1MuFj52eBLJmBe6n1FTTJM7ruNxHy5uqhQcOJy5l08pXAEFGuvznhdViBD 8blZ+7f8T2lAzQz72XDE5issNkRXztbijTG0Er+qQYPHtgXTtPkGaToHNz6c mN34CiNOczP4iJ4Z57RxNsnp8Y7alRJ6d7K+HOGJmYWffXk1XgJQ3W8G5ECK VCWBByrzio3cvjuyx+tIiqGdIancKuiZnaBTMxvNHQgbiISgMrR9QBaRcwOj doALvnlE1SX2TGw/51KY63gyh8PRR0XDkfp5dHAJPOxRd9dNHPbum3kJ1D6r rWvAT/l0YLsPmmAY6VXz4jEBbQ68j8Fu381sKf8eSt4mnBk17cnViklJQHBt CcLpkrzA/Ye0CgGutkPljfPcC+C8DyyYEjff4u/yRrSEBl0Jda5PHg5VJk+n QS16ejz635AA2m3rX9y5WAxJCu9HGGLVyuSHjSi0/h5kIjyXLCUPR4ReEDYY 2F2F =ukIg -----END PGP SIGNATURE-----