Уязвимость в Jira Server и Jira Data Center

Компания Atlassian предупредила своих партнеров об обнаруженной уязвимости. Ей подвержены Jira Software, Jira Core и Jira Service Desk. При этом не затрагивается Jira Cloud.

По сообщению вендора, проблема связана с использованием формы связи с администраторами Jira и пакетными почтовыми уведомлениями. Уязвимость позволяет злоумышленнику запускать вредоносный код на стороне сервера Jira. 

Уязвимость может быть использована, когда:

• настроен SMTP-сервер и включена форма связи с администратором
• настроен SMTP-сервер и у злоумышленника есть доступ с правами администратора Jira

В первом случае злоумышленник может провести атаку на сервер даже без авторизации.
Atlassian оценивает уровень серьезности этой уязвимости как критический и настоятельно рекомендует провести обновление до последней версии.

Согласно Atlassian, уязвимы следующие версии Jira:

• 4.4.x
• 5.x.x
• 6.x.x
• 7.0.x
• 7.1.x
• 7.2.x
• 7.3.x
• 7.4.x
• 7.5.x
• 7.6.x до версии 7.6.14
• 7.8.x
• 7.9.x
• 7.10.x
• 7.11.x
• 7.12.x
• 7.13.x до версии 7.13.5 
• 8.0.x до версии 8.0.3 
• 8.1.x до версии 8.1.2
• 8.2.x до версии 8.2.3 

Пользователи, использующие Jira 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 и Jira Cloud не подвержены данной уязвимости.

Если вы используете проблемные версии, рекомендуем как можно скорее обновить их. Вы можете сделать это самостоятельно или обратиться к специалистам «Апланы».

Источник: www.confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html