Atlassian dropt patches voor kritieke Jira-authenticatie-bypass-kwetsbaarheid

Atlassian Jira Nachrichten

Atlassian heeft een beveiligingsadvies gepubliceerd over een kritieke kwetsbaarheid in zijn Jira-software die kan worden misbruikt door een externe, niet-geverifieerde aanvaller om authenticatiebeveiligingen te omzeilen.

Bijgehouden als CVE-2022-0540, heeft de fout een 9,9 uit 10 op het CVSS-scoresysteem en bevindt deze zich in Jira’s authenticatieraamwerk, Jira Seraph. Khoadha van Viettel Cyber ​​Security is gecrediteerd met het ontdekken en rapporteren van de beveiligingszwakte.

“Een niet-geverifieerde aanvaller op afstand kan hier misbruik van maken door een speciaal vervaardigd HTTP-verzoek te sturen om authenticatie- en autorisatievereisten in WebWork-acties te omzeilen met behulp van een getroffen configuratie”, Atlassian dat is genoteerd.

De fout treft de volgende Jira-producten:

  • Jira Core Server, Jira Software Server en Jira Software Data Center: alle versies vóór 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x vóór 8.20. 6, en 8.21.x
  • Jira Service Management Server en Jira Service Management Data Center: alle versies vóór 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x vóór 4.20.6, en 4.21.x

Vaste Jira- en Jira Service Management-versies zijn 8.13.18, 8.20.6 en 8.22.0 en 4.13.18, 4.20.6 en 4.22.0.

Atlassian merkte ook op dat de fout alleen van invloed is op apps van eerste en derde partijen als ze zijn geïnstalleerd in een van de bovengenoemde Jira- of Jira Service Management-versies en dat ze een kwetsbare configuratie gebruiken.

Gebruikers wordt sterk aangeraden om te updaten naar een van de gepatchte versies om mogelijke misbruikpogingen te verminderen. Als onmiddellijk patchen geen optie is, adviseert het bedrijf de betrokken apps bij te werken naar een vaste versie of ze helemaal uit te schakelen.

Het is vermeldenswaard dat een kritieke fout in de uitvoering van externe code in Atlassian Confluence (CVE-2021-26084, CVSS-score: 9,8) vorig jaar actief werd bewapend in het wild om cryptocurrency-mijnwerkers op gecompromitteerde servers te installeren.

David
Rate author
Hackarizona