Компания Atlassian предупредила своих партнеров об обнаруженной уязвимости. Ей подвержены Jira Software, Jira Core и Jira Service Desk. При этом не затрагивается Jira Cloud.
По сообщению вендора, проблема связана с использованием формы связи с администраторами Jira и пакетными почтовыми уведомлениями. Уязвимость позволяет злоумышленнику запускать вредоносный код на стороне сервера Jira.
Уязвимость может быть использована, когда:
- настроен SMTP-сервер и включена форма связи с администратором
- настроен SMTP-сервер и у злоумышленника есть доступ с правами администратора Jira
В первом случае злоумышленник может провести атаку на сервер даже без авторизации.
Atlassian оценивает уровень серьезности этой уязвимости как критический и настоятельно рекомендует провести обновление до последней версии.
Согласно Atlassian, уязвимы следующие версии Jira:
- 4.4.x
- 5.x.x
- 6.x.x
- 7.0.x
- 7.1.x
- 7.2.x
- 7.3.x
- 7.4.x
- 7.5.x
- 7.6.x до версии 7.6.14
- 7.8.x
- 7.9.x
- 7.10.x
- 7.11.x
- 7.12.x
- 7.13.x до версии 7.13.5
- 8.0.x до версии 8.0.3
- 8.1.x до версии 8.1.2
- 8.2.x до версии 8.2.3
Пользователи, использующие Jira 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 и Jira Cloud не подвержены данной уязвимости.
Если вы используете проблемные версии, рекомендуем как можно скорее обновить их. Вы можете сделать это самостоятельно или обратиться к специалистам «Апланы».
Источник:
www.confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html
Следите за новостями компании IBS в соцсетях и блогах