Atlassian, Jira yazılımında, kimliği doğrulanmamış bir saldırgan tarafından kimlik doğrulama korumalarını atlatmak için kötüye kullanılabilecek kritik bir güvenlik açığına ilişkin bir güvenlik uyarısı uyarısı yayınladı.
olarak izlendi CVE-2022-0540, kusur CVSS puanlama sisteminde 10 üzerinden 9,9 olarak derecelendirilmiştir ve Jira’nın kimlik doğrulama çerçevesi Jira Seraph’ta bulunur. Viettel Cyber Security’den Khoadha, güvenlik zayıflığını keşfetme ve bildirme konusunda itibar kazanmıştır.
Atlassian, “Uzak, kimliği doğrulanmamış bir saldırgan, etkilenen bir yapılandırmayı kullanarak WebWork eylemlerinde kimlik doğrulama ve yetkilendirme gereksinimlerini atlamak için özel olarak hazırlanmış bir HTTP isteği göndererek bundan yararlanabilir.” not alınmış.
Kusur aşağıdaki Jira ürünlerini etkiler –
- Jira Core Server, Jira Software Server ve Jira Software Data Center: 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x’ten önceki tüm sürümler 8.20’den önce. 6 ve 8.21.x
- Jira Service Management Server ve Jira Service Management Data Center: 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x 4.20.6’dan önceki tüm sürümler, ve 4.21.x
Sabit Jira ve Jira Hizmet Yönetimi sürümleri 8.13.18, 8.20.6 ve 8.22.0 ve 4.13.18, 4.20.6 ve 4.22.0’dır.
Atlassian ayrıca, kusurun birinci ve üçüncü taraf uygulamalarını yalnızca yukarıda belirtilen Jira veya Jira Hizmet Yönetimi sürümlerinden birine kurulu olmaları ve güvenlik açığı bulunan bir yapılandırma kullanmaları durumunda etkilediğini belirtti.
Potansiyel istismar girişimlerini azaltmak için kullanıcıların yamalı sürümlerden birine güncelleme yapmaları şiddetle tavsiye edilir. Anında yama bir seçenek değilse, şirket etkilenen uygulamaları sabit bir sürüme güncellemeyi veya tamamen devre dışı bırakmayı öneriyor.
Atlassian Confluence’daki (CVE-2021-26084, CVSS puanı: 9.8) kritik bir uzaktan kod yürütme kusurunun, güvenliği ihlal edilmiş sunuculara kripto para birimi madencileri yüklemek için geçen yıl vahşi bir şekilde aktif olarak silahlandırıldığını belirtmekte fayda var.