Уязвимость, отслеживаемая как CVE-2022-0540 , имеет рейтинг 9,9 из 10
Atlassian устранила критическую ошибку в своем программном обеспечении Jira, обозначенную как CVE-2022-0540 (CVSS 9.9), которая позволяла обходить аутентификацию. Злоумышленник, не прошедший проверку подлинности, может создать специально созданный HTTP-запрос уязвимому программному обеспечению и выполнитить произвольный код
Об уязвимости сообщила Хоада из Viettel Cyber Security, исследовательской компании в области информационной безопасности.
Уязвимость затрагивает следующие продукты Jira:
Исправленные версии Jira и Jira Service Management: 8.13.18, 8.20.6 и 8.22.0, а также 4.13.18, 4.20.6 и 4.22.0.
Atlassian также отметил, что уязвимость затрагивает собственные и сторонние приложения, только если они установлены в одной из вышеупомянутых версий Jira или Jira Service Management и используют уязвимую конфигурацию.
Пользователям настоятельно рекомендуется обновиться до одной из исправленных версий, чтобы предотвратить возможные попытки эксплуатации. Atlassian также предусмотрел меры по смягчению последствий для тех пользователей, которые не могут установить исправленную версию Jira или Jira Service Management и используют любые уязвимые версии приложения. Компания рекомендует пользователям обновить приложение до исправленной версии.
Пользователи уязвимых приложений могут снизить риск для взлома, отключив приложение до получения обновлений.
Стоит отметить, что критическая уязвимость удаленного выполнения кода в Atlassian Confluence ( CVE-2021-26084 , оценка CVSS: 9,8) активно использовалась в прошлом году для установки майнеров криптовалюты на скомпрометированные серверы.