Atlassian corrige vulnerabilidades críticas no Confluence e Crowd

A Atlassian lançou atualizações para corrigir 12 vulnerabilidades de gravidade crítica e alta em seus produtos Bamboo, Bitbucket, Confluence, Crowd e Jira.

Nesta semana, a empresa anunciou a disponibilização de patches para cinco falhas críticas no Confluence Data Center e Server e no Crowd Data Center e Server. Essas falhas foram identificadas em dependências de terceiros utilizadas nesses produtos.

As atualizações para o Confluence Data Center e Server corrigem duas vulnerabilidades críticas no Apache Tomcat, identificadas como CVE-2024-50379 e CVE-2024-56337, ambas com pontuação CVSS de 9.8. De acordo com a Atlassian, essas falhas poderiam ser exploradas por invasores não autenticados para executar código remotamente (RCE).

As mesmas vulnerabilidades foram corrigidas no Crowd Data Center e Server, juntamente com uma terceira falha crítica no Apache Tomcat, rastreada como CVE-2024-52316. Essa última falha, que também pode ser explorada por atacantes sem autenticação, permite bypass de autenticação, aumentando significativamente os riscos de comprometimento.

Além disso, o Crowd recebeu uma correção para uma vulnerabilidade de negação de serviço (DoS) de alta severidade na biblioteca ua-parser-js, catalogada como CVE-2022-25927, conforme informado no boletim de segurança da empresa de fevereiro de 2025.

A Atlassian também lançou correções para duas falhas de DoS no Bamboo Data Center e Server, afetando o Protocol Buffers (CVE-2024-7254) e a biblioteca XStream (CVE-2024-47072). Além disso, uma vulnerabilidade crítica de execução remota de código (RCE) no Bitbucket Data Center e Server, relacionada ao Java SDK do Apache Avro (CVE-2024-47561), também foi corrigida.

No Jira Data Center e Server, a Atlassian aplicou um patch para a falha de DoS no Protocol Buffers.

Embora a empresa não tenha relatado evidências de exploração ativa dessas vulnerabilidades, ela reforça a necessidade de atualização imediata dos produtos afetados.

Via - SW