Atlassian исправила серьезную уязвимость аутентификации Jira
Atlassian исправила серьезную уязвимость аутентификации Jira. Фото: СС0
Уязвимость CVE-2023-22501 позволяет злоумышленникам выдавать себя за добросовестных пользователей и получить доступ к экземпляру Jira Service Management при определенных обстоятельствах. Ей присвоена оценка серьезности 9,4 (критическая)
Из сообщения компании:
«Если в экземпляре Jira Service Management включен доступ для записи в каталог пользователей и включена исходящая электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему».
В компании объяснили, что субъект угрозы может получить токены, будучи включенным в проблемы или запросы Jira с пользователями, или если они каким-либо образом получат электронное письмо со ссылкой «Просмотреть запрос».
Из сообщения компании:
«Учетные записи ботов особенно восприимчивы к этому сценарию. На экземплярах с единым входом внешние учетные записи клиентов могут быть затронуты в проектах, где каждый может создать свою собственную учетную запись».
Уязвимые версии Jira включают 5.3.0; 5.3.1; 5.3.2; 5.4.0; 5.4.1 и 5.5.0. В компании призывают обновить их до версии 5.3.3; 5.4.2; 5.5.1 или 5.6.0 немедленно.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было