Atlassian исправила серьезную уязвимость аутентификации Jira

Atlassian исправила серьезную уязвимость аутентификации Jira

7 февраля 2023 г.

Компания Atlassian сообщила, что устранила серьезную уязвимость в своих продуктах Service Management Server и Data Center.

Уязвимость, отслеживаемая как CVE-2023-22501, позволяет злоумышленникам выдавать себя за людей и получать доступ к экземпляру Jira Service Management при определенных обстоятельствах. Ему присвоена оценка серьезности 9,4, что делает его критическим недостатком.

«Если в экземпляре Jira Service Management разрешена запись в каталог пользователей и включена исходящая электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему», — Atlassian. отмечено в описании уязвимости.

Уязвимые версии

Компания объяснила, что субъект угрозы может получить токены, будучи включенным в задачи или запросы Jira с пользователями, или если он каким-то образом получит электронное письмо со ссылкой «Просмотреть запрос».

«Бот-аккаунты особенно восприимчивы к этому сценарию», — пояснили в Atlassian. «В экземплярах с единым входом внешние учетные записи клиентов могут быть затронуты в проектах, где каждый может создать свою собственную учетную запись».

Эти версии Jira уязвимы для уязвимости: 5.3.0; 5.3.1; 5.3.2; 5.4.0; 5.4.1 и 5.5.0. На всякий случай обновите Jira до версии 5.3.3; 5.4.2; 5.5.1 или 5.6.0.

Подробнее

> Atlassian активно используется для взлома корпоративных сетей

> Atlassian страдает от множества ужасных проблем с безопасностью

> Вот наш список лучших служб защиты конечных точек. прямо сейчас

Похоже, продукты Atlassian являются популярной мишенью для киберпреступников. В октябре прошлого года Агентство США по кибербезопасности и инфраструктуре (CISA) отметило, что серьезная уязвимость, обнаруженная в двух широко используемых инструментах Atlassian Bitbucket — Server и Data Center, активно эксплуатируется в дикой природе.

До этого, в июле, сообщалось, что Jira, Confluence и Bamboo уязвимы для CVE-2022-26136, произвольного обхода фильтра сервлетов, который позволял злоумышленникам обходить пользовательские фильтры сервлетов, сторонние приложения используют для аутентификации. Неисправность была признана серьезной.

Через: журнал Infosecurity

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE