Lỗ hổng nghiêm trọng có mã định danh CVE-2024-1597 (điểm CVSS: 10,0), được mô tả là một lỗi SQL injection, bắt nguồn từ một thành phần phụ thuộc (dependency) có tên org.postgresql:postgresql.
Đại diện phía Atlassian cho biết: "Lỗ hổng dependency org.postgresql:postgresql có thể cho phép kẻ tấn công không cần xác thực truy cập để thực hiện hành vi trái phép đến các tài nguyên nội bộ, gây tác động lớn đến tính bảo mật, tính toàn vẹn, tính khả dụng mà không yêu cầu tương tác của người dùng".
Theo mô tả trong cơ sở dữ liệu về lỗ hổng quốc gia của NIST thì "PostgreSQL JDBC driver cho phép tin tặc thực hiện tấn công SQL injection nếu đang sử dụng PreferQueryMode=SIMPLE". Các phiên bản bị ảnh hưởng bao gồm: trước 42.7.2; trước 42.6.1; trước 42.5.5; trước 42.4.4; trước 42.3.9; trước 42.2.28 (đã được khắc phục trong phiên bản 42.2.28.jre7).
Trong một tư vấn bảo mật vào tháng trước khuyến cáo: "Lỗ hổng không xuất hiện trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không thay đổi chế độ truy vấn mặc định sẽ không bị ảnh hưởng".
Các lỗ hổng được phát hiện tồn tại trong một số phiên bản của các sản phẩm Data Center và Máy chủ Bamboo gồm: 8.2.1; 9.0.0; 9.1.0; 9.2.1; 9.3.0; 9.4.0 và 9.5.0.
Công ty này cũng nhấn mạnh rằng Bamboo và các sản phẩm Data Center khác của Atlassian không bị ảnh hưởng bởi CVE-2024-1597, vì nó không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL.
Nhà nghiên cứu bảo mật SonarSource - Paul Gerste được ghi nhận là người đã phát hiện và báo cáo lỗ hổng. Người dùng nên kiểm tra và cập nhật phiên bản mới nhất cho các hệ thống/ứng dụng đang sử dụng để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Hà Chi
16:00 | 30/11/2022
16:00 | 13/03/2024
07:00 | 12/04/2024
15:00 | 16/04/2024
09:00 | 29/02/2024
09:00 | 09/04/2024
Hãng tin The Information cho biết về việc Microsoft và OpenAI đang lên kế hoạch cho một dự án trung tâm dữ liệu với một siêu máy tính sử dụng hàng triệu chip máy chủ chuyên dụng. Dự án này có thể lên đến 100 tỷ USD, tức là đắt gấp 100 lần so với những dự án trung tâm dữ liệu hiện có ngày nay.
08:00 | 08/03/2024
Mới đây, Meta - Công ty mẹ của Facebook đã vá một lỗ hổng nghiêm trọng có thể bị khai thác để chiếm quyền của bất kỳ tài khoản Facebook nào.
19:00 | 30/11/2023
Ngày 30/11, tại Hà Nội, Nessar và Quest/One Identity giới thiệu giải pháp an toàn dữ liệu và bảo mật mạng hàng đầu tại Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam năm 2023 với chủ đề "An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo", thu hút sự quan tâm lớn từ cộng đồng an toàn thông tin và doanh nghiệp.
08:00 | 29/11/2023
Theo tờ The New York Times, 33 tiểu bang của Mỹ đã đệ đơn kiện chống lại Meta, cáo buộc công ty này thu thập dữ liệu cá nhân của trẻ em và vi phạm chính sách độ tuổi sử dụng.
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024