HackerNews 编译,转载请注明出处:
Atlassian和Cisco本周宣布为其产品中的多个高危漏洞提供补丁,其中包括可导致远程代码执行的缺陷。
Atlassian发布了七项更新,修复了Bamboo、Confluence和Jira中影响第三方依赖项的四个高危漏洞,其中部分漏洞早在近六年前就已公开披露。针对Bamboo数据中心与服务器版、Jira数据中心与服务器版以及Jira服务管理数据中心与服务器版的修复程序,解决了Netplex Json-smart中未经认证即可被利用的拒绝服务(DoS)问题。该安全缺陷编号为CVE-2024-57699。
针对Jira及Jira服务管理的安全更新还修复了一个可导致DoS的XXE(XML外部实体注入)漏洞,编号为CVE-2021-33813。
Confluence数据中心与服务器版修复了两个漏洞,包括Netty应用框架中的DoS漏洞(编号CVE-2025-24970),以及libjackson-json-java库中的XXE漏洞(CVE-2019-10172)。
Atlassian未提及这些漏洞在现实中被利用的情况。
周三,Cisco为Webex App、安全网络分析系统(Secure Network Analytics)和Nexus Dashboard中的三个安全缺陷提供了补丁。
Webex App修复了一个高危漏洞(编号CVE-2025-20236)。攻击者可诱使用户点击特制会议邀请链接并下载任意文件,从而远程执行任意代码。针对安全网络分析系统7.5.0、7.5.1和7.5.2版本的更新修复了一个中危问题,该漏洞允许经过认证的攻击者获取具有root权限的shell访问。
在Nexus Dashboard中,Cisco修复了一个中危漏洞,未经认证的远程攻击者可借此验证有效LDAP用户账号的用户名。
Cisco表示目前未发现这些漏洞在现实中被利用。更多信息可查阅该公司安全公告页面。
消息来源:securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
