Heute hat Atlassian einen Hinweis zu einer Sicherheitslücke für Bamboo veröffentlicht. Es handelt sich dabei um eine Anfälligkeit der Bamboo Nutzerverwaltung für Cross-Site-Scripting (XSS). Alle Versionen vor Bamboo 2.7.3. sind betroffen. JIRA Studio ist für dieses Problem nicht anfällig.
Die Sicherheitslücke wird von Atlassian als “High” eingestuft, was entsprechend der von Atlassian definierten Abstufung ein mittleres Risiko bedeutet. Konkret bedeutet dies, sie ist nur schwer auszunutzen und führt dann meist nicht zu Rechteausweitung oder signifikantem Datenverlust.
Es wird empfohlen, Bamboo mindestens auf die Version 2.7.4 zu aktualisieren. Solange dies nicht möglich ist, sollte der Zugriff auf bekannte Gruppen beschränkt werden. Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.
