Atlassian исправила серьезную уязвимость аутентификации Jira

Администрация Atlassian сообщила, что разработчики исправили серьезную ошибку в своих продуктах Service Management Server и Data Center.

Atlassian исправила серьезную уязвимость аутентификации Jira. Фото: СС0

Уязвимость CVE-2023-22501 позволяет злоумышленникам выдавать себя за добросовестных пользователей и получить доступ к экземпляру Jira Service Management при определенных обстоятельствах. Ей присвоена оценка серьезности 9,4 (критическая)

Из сообщения компании:

«Если в экземпляре Jira Service Management включен доступ для записи в каталог пользователей и включена исходящая электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему».

В компании объяснили, что субъект угрозы может получить токены, будучи включенным в проблемы или запросы Jira с пользователями, или если они каким-либо образом получат электронное письмо со ссылкой «Просмотреть запрос».

Из сообщения компании:

«Учетные записи ботов особенно восприимчивы к этому сценарию. На экземплярах с единым входом внешние учетные записи клиентов могут быть затронуты в проектах, где каждый может создать свою собственную учетную запись».

Уязвимые версии Jira включают 5.3.0; 5.3.1; 5.3.2; 5.4.0; 5.4.1 и 5.5.0. В компании призывают обновить их до версии 5.3.3; 5.4.2; 5.5.1 или 5.6.0 немедленно.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме