nghiêm trọng có mã định danh CVE-2024-1597 (điểm CVSS: 10,0), được mô tả là một lỗi SQL injection, bắt nguồn từ một thành phần phụ thuộc (dependency) có tên org.postgresql:postgresql.
Đại diện phía Atlassian cho biết: "Lỗ hổng dependency org.postgresql:postgresql có thể cho phép kẻ tấn công không cần xác thực truy cập để thực hiện hành vi trái phép đến các tài nguyên nội bộ, gây tác động lớn đến tính , tính toàn vẹn, tính khả dụng mà không yêu cầu tương tác của người dùng".
Theo mô tả trong cơ sở dữ liệu về lỗ hổng quốc gia của NIST thì "PostgreSQL JDBC driver cho phép tin tặc thực hiện tấn công SQL injection nếu đang sử dụng PreferQueryMode=SIMPLE". Các phiên bản bị ảnh hưởng bao gồm: trước 42.7.2; trước 42.6.1; trước 42.5.5; trước 42.4.4; trước 42.3.9; trước 42.2.28 (đã được khắc phục trong phiên bản 42.2.28.jre7).
Trong một tư vấn bảo mật vào tháng trước khuyến cáo: "Lỗ hổng không xuất hiện trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không thay đổi chế độ truy vấn mặc định sẽ không bị ảnh hưởng".
Các lỗ hổng được phát hiện tồn tại trong một số phiên bản của các sản phẩm Data Center và Máy chủ Bamboo gồm: 8.2.1; 9.0.0; 9.1.0; 9.2.1; 9.3.0; 9.4.0 và 9.5.0.
Công ty này cũng nhấn mạnh rằng Bamboo và các sản phẩm khác của Atlassian không bị ảnh hưởng bởi CVE-2024-1597, vì nó không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL.
Nhà nghiên cứu bảo mật SonarSource - Paul Gerste được ghi nhận là người đã phát hiện và báo cáo lỗ hổng. Người dùng nên kiểm tra và cập nhật phiên bản mới nhất cho các hệ thống/ứng dụng đang sử dụng để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Hà Chi
16:00 | 30/11/2022
16:00 | 13/03/2024
07:00 | 12/04/2024
15:00 | 16/04/2024
09:00 | 29/02/2024
10:00 | 07/05/2024
Intel sẽ phát hành hai chip AI công suất thấp dành cho thị trường Trung Quốc, nhằm tuân thủ các lệnh trừng phạt và kiểm soát xuất khẩu của Hoa Kỳ.
15:00 | 11/04/2024
Vừa qua, phiên bản mới nhất của FortiOS được công bố. Đây là hệ điều hành duy nhất hội tụ liền mạch mạng và bảo mật, cùng với các bản cập nhật Fortinet Security Fabric mang đến những tính năng AI tạo sinh thế hệ mới, khả năng bảo vệ dữ liệu, quản lý dịch vụ và tác nhân hợp nhất.
14:00 | 22/02/2024
Ngày 14/02/2024, Microsoft đã lên tiếng cảnh báo về một lỗ hổng bảo mật nghiêm trọng mới trong máy chủ Exchange Server đang bị khai thác rộng rãi, một ngày sau khi hãng phát hành các bản sửa lỗi cho lỗ hổng này như một phần của bản cập nhật Patch Tuesday.
13:00 | 14/11/2023
WhatsApp đã bắt đầu triển khai tính năng bảo mật mới trong dịch vụ nhắn tin của mình có tên “Protect IP Address in Calls”. Tính năng này đảm bảo rằng địa chỉ IP người dùng WhatsApp không hiển thị với các bên khác trong cuộc gọi.
Ngày 8/5, Intel cho biết doanh số bán hàng của công ty sẽ bị ảnh hưởng sau khi Mỹ thu hồi một số giấy phép xuất khẩu của nhà sản xuất chip này đối với một khách hàng ở Trung Quốc.
16:00 | 18/05/2024