Atlassian ha publicado un aviso de seguridad que advierte sobre una vulnerabilidad crítica en su software Jira que podría ser abusada por un atacante remoto no autenticado para eludir las protecciones de autenticación.
rastreado como CVE-2022-0540, la falla tiene una calificación de 9.9 sobre 10 en el sistema de puntuación CVSS y reside en el marco de autenticación de Jira, Jira Seraph. A Khoadha de Viettel Cyber Security se le atribuye el descubrimiento y la notificación de la debilidad de la seguridad.
«Un atacante remoto no autenticado podría explotar esto enviando una solicitud HTTP especialmente diseñada para eludir los requisitos de autenticación y autorización en las acciones de WebWork utilizando una configuración afectada», Atlassian anotado.
La falla afecta a los siguientes productos de Jira:
- Jira Core Server, Jira Software Server y Jira Software Data Center: todas las versiones anteriores a la 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x anteriores a la 8.20. 6 y 8.21.x
- Jira Service Management Server y Jira Service Management Data Center: Todas las versiones anteriores a 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x anteriores a 4.20.6, y 4.21.x
Las versiones fijas de Jira y Jira Service Management son 8.13.18, 8.20.6 y 8.22.0 y 4.13.18, 4.20.6 y 4.22.0.
Atlassian también señaló que la falla afecta a las aplicaciones propias y de terceros solo si están instaladas en una de las versiones mencionadas de Jira o Jira Service Management y si están usando una configuración vulnerable.
Se recomienda encarecidamente a los usuarios que actualicen a una de las versiones parcheadas para mitigar posibles intentos de explotación. Si el parcheo inmediato no es una opción, la compañía recomienda actualizar las aplicaciones afectadas a una versión fija o deshabilitarlas por completo.
Vale la pena señalar que una falla crítica de ejecución remota de código en Atlassian Confluence (CVE-2021-26084, puntaje CVSS: 9.8) se usó activamente como arma el año pasado para instalar mineros de criptomonedas en servidores comprometidos.