必须立即修复Atlassian Bamboo数据中心和服务器中的严重漏洞

Atlassian已解决其Bamboo、Bitbucket、Confluence和Jira产品中的多个漏洞。其中最严重的漏洞被标识为CVE-2024-1597（CVSS评分为10），是一个SQL注入漏洞，影响了Bamboo Data Center和Server的org.postgresql:postgresql第三方依赖项。

警告中指出：“这个org.postgresql:postgresql Dependency漏洞，CVSS评分为10，CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H，可以使未经身份验证的攻击者暴露您环境中易受利用的资产，对机密性、完整性和可用性造成高影响，且无需用户交互。” 

该漏洞影响Bamboo Data Center和Server版本8.2.1、9.0.0、9.1.0、9.2.1、9.3.0、9.4.0和9.5.0。该软件巨头通过发布版本9.6.0（LTS）、9.5.2、9.4.4和9.2.12（LTS）来解决这一漏洞。 公司还解决了一个DoS（拒绝服务）software.amazon.ion:ion-java依赖项问题，标识为CVE-2024-21634（CVSS评分为7.5），影响Bamboo Data Center和Server。

警告中指出：“这个software.amazon.ion:ion-java Dependency漏洞，CVSS评分为7.5，CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H，允许未经身份验证的攻击者暴露您环境中易受利用的资产，对机密性没有影响，对完整性没有影响，对可用性造成高影响，且无需用户交互。”

警告指出，高危度的software.amazon.ion:ion-java Dependency漏洞出现在Bamboo Data Center和Server的版本8.2.1、9.0.0、9.1.0、9.2.1、9.3.0、9.4.0和9.5.0中。 Atlassian解决的完整漏洞列表可在此处找到。

原文始发于微信公众号（黑猫安全）：必须立即修复Atlassian Bamboo数据中心和服务器中的严重漏洞