Atlassian Drops Patch cho lỗ hổng bỏ qua xác thực Jira quan trọng

Atlassian Jira

Atlassian đã xuất bản một cảnh báo tư vấn về một lỗ hổng nghiêm trọng trong Jira của họ có thể bị kẻ tấn công từ xa, không được xác thực lợi dụng để phá vỡ các biện pháp bảo vệ xác thực.

Theo dõi là CVE-2022-0540, lỗ hổng được đánh giá 9,9 trên 10 trên hệ thống tính điểm CVSS và nằm trong khung xác thực của Jira, Jira Seraph. Khoadha của Công ty Viettel được cho là đã phát hiện và báo cáo điểm yếu về bảo mật.

Atlassian lưu ý: “Kẻ tấn công từ xa, chưa được xác thực có thể khai thác điều này bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt để bỏ qua các yêu cầu xác thực và ủy quyền trong các tác vụ WebWork bằng cách sử dụng cấu hình bị ảnh hưởng.

Lỗ hổng ảnh hưởng đến các sản phẩm Jira sau:

Jira Core Server, Jira Software Server và Jira Software Data Center: Tất cả các phiên bản trước 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x trước 8.20. 6 và 8.21.x Máy chủ quản lý dịch vụ Jira và Trung tâm dữ liệu quản lý dịch vụ Jira: Tất cả các phiên bản trước 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20. x trước 4.20.6 và 4.21.x

Các phiên bản Jira và Quản lý dịch vụ Jira đã sửa là 8.13.18, 8.20.6, 8.22.0 và 4.13.18, 4.20.6 và 4.22.0.

Atlassian cũng lưu ý rằng lỗ hổng chỉ ảnh hưởng đến các ứng dụng của bên thứ nhất và bên thứ ba nếu chúng được cài đặt trong một trong các phiên bản Jira hoặc Jira Service Management đã nói ở trên và chúng đang sử dụng cấu hình dễ bị tấn công.

Xem tiếp:   Nga công bố danh sách các IP, tên miền tấn công cơ sở hạ tầng của mình bằng các cuộc tấn công DDoS

Người dùng được khuyến nghị cập nhật lên một trong các phiên bản đã vá để giảm thiểu các nỗ lực khai thác tiềm năng. Nếu bản vá ngay lập tức không phải là một tùy chọn, công ty sẽ khuyên cập nhật các ứng dụng bị ảnh hưởng lên phiên bản cố định hoặc vô hiệu hóa chúng hoàn toàn.

Cần lưu ý rằng một lỗ hổng thực thi mã từ xa quan trọng trong Atlassian Confluence (CVE-2021-26084, điểm CVSS: 9,8) đã được vũ khí hóa tích cực vào năm ngoái để cài đặt các công cụ khai thác tiền điện tử trên các máy chủ bị xâm nhập.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …