Atlassian выпускает исправления для критической уязвимости в Jira

Atlassian устранила критическую ошибку в своем программном обеспечении Jira, обозначенную как CVE-2022-0540 (CVSS 9.9), которая позволяла обходить аутентификацию. Злоумышленник, не прошедший проверку подлинности, может создать специально созданный HTTP-запрос уязвимому программному обеспечению и выполнитить произвольный код

Об уязвимости сообщила Хоада из Viettel Cyber Security, исследовательской компании в области информационной безопасности.

Уязвимость затрагивает следующие продукты Jira:

• Jira Core Server, Jira Software Server и Jira Software Data Center: все версии до 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x до 8.20. 6 и 8.21.x
• Jira Service Management Server и Jira Service Management Data Center: все версии до 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x до 4.20.6, и 4.21.х

Исправленные версии Jira и Jira Service Management: 8.13.18, 8.20.6 и 8.22.0, а также 4.13.18, 4.20.6 и 4.22.0.

Atlassian также отметил, что уязвимость затрагивает собственные и сторонние приложения, только если они установлены в одной из вышеупомянутых версий Jira или Jira Service Management и используют уязвимую конфигурацию.

Пользователям настоятельно рекомендуется обновиться до одной из исправленных версий, чтобы предотвратить возможные попытки эксплуатации. Atlassian также предусмотрел меры по смягчению последствий для тех пользователей, которые не могут установить исправленную версию Jira или Jira Service Management и используют любые уязвимые версии приложения. Компания рекомендует пользователям обновить приложение до исправленной версии.

Пользователи уязвимых приложений могут снизить риск для взлома, отключив приложение до получения обновлений.

Стоит отметить, что критическая уязвимость удаленного выполнения кода в Atlassian Confluence ( CVE-2021-26084 , оценка CVSS: 9,8) активно использовалась в прошлом году для установки майнеров криптовалюты на скомпрометированные серверы.