Multiples vulnérabilités dans Atlassian Confluence et Jira

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance

Systèmes affectés

Confluence Data Center versions 7.x antérieures à la version 7.19.18
Confluence Data Center versions 8.x antérieures à la version 8.7.2
Confluence Data Center versions LTS 8.5.x antérieures à la version 8.5.5
Confluence Server versions 7.x antérieures à la version 7.19.18
Confluence Server versions 8.5.x antérieures à la version 8.5.5
Jira Data Center et Jira Server versions 9.x antérieures à la version 9.7.0
Jira Data Center et Jira Server versions LTS 9.4.x antérieures à la version 9.4.13
Jira Service Management Data Center et Jira Service Management Server versions 4.20.x antérieures à la version 4.20.30
Jira Service Management Data Center et Jira Service Management Server versions 5.x antérieures à la version 5.12.2
Jira Service Management Data Center et Jira Service Management Server versions LTS 5.4.x antérieures à la version 5.4.15

Résumé

De multiples vulnérabilités ont été découvertes dans Atlassian Confluence et Jira. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Atlassian 1333335615 du 16 janvier 2024

https://confluence.atlassian.com/security/security-bulletin-january-16-2024-1333335615.html

Bulletin de sécurité Atlassian 1333990257 du 16 janvier 2024

https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

Référence CVE CVE-2020-25649

https://www.cve.org/CVERecord?id=CVE-2020-25649

Référence CVE CVE-2022-42252

https://www.cve.org/CVERecord?id=CVE-2022-42252

Référence CVE CVE-2022-44729

https://www.cve.org/CVERecord?id=CVE-2022-44729

Référence CVE CVE-2023-22526

https://www.cve.org/CVERecord?id=CVE-2023-22526

Référence CVE CVE-2023-22527

https://www.cve.org/CVERecord?id=CVE-2023-22527

Référence CVE CVE-2023-3635

https://www.cve.org/CVERecord?id=CVE-2023-3635

Référence CVE CVE-2024-21672

https://www.cve.org/CVERecord?id=CVE-2024-21672

Référence CVE CVE-2024-21673

https://www.cve.org/CVERecord?id=CVE-2024-21673

Référence	CERTFR-2024-AVI-0040
Titre	Multiples vulnérabilités dans Atlassian Confluence et Jira
Date de la première version	16 janvier 2024
Date de la dernière version	16 janvier 2024
Source(s)	Bulletin de sécurité Atlassian 1333335615 du 16 janvier 2024 Bulletin de sécurité Atlassian 1333990257 du 16 janvier 2024
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Atlassian Confluence et Jira

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document