Atlassian a publié un avertissement de sécurité concernant une vulnérabilité critique dans son logiciel Jira qui pourrait être exploitée par un attaquant distant non authentifié pour contourner les protections d’authentification.
Suivi comme CVE-2022-0540, la faille est notée 9,9 sur 10 sur le système de notation CVSS et réside dans le framework d’authentification de Jira, Jira Seraph. Khoadha de Viettel Cyber Security a été crédité d’avoir découvert et signalé la faille de sécurité.
« Un attaquant distant non authentifié pourrait exploiter cela en envoyant une requête HTTP spécialement conçue pour contourner les exigences d’authentification et d’autorisation dans les actions WebWork à l’aide d’une configuration affectée », Atlassian c’est noté.
La faille affecte les produits Jira suivants :
- Jira Core Server, Jira Software Server et Jira Software Data Center : Toutes les versions antérieures à 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x antérieures à 8.20. 6 et 8.21.x
- Jira Service Management Server et Jira Service Management Data Center : toutes les versions antérieures à 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x antérieures à 4.20.6, et 4.21.x
Les versions fixes de Jira et Jira Service Management sont 8.13.18, 8.20.6 et 8.22.0 et 4.13.18, 4.20.6 et 4.22.0.
Atlassian a également noté que la faille n’affecte les applications propriétaires et tierces que si elles sont installées dans l’une des versions Jira ou Jira Service Management susmentionnées et qu’elles utilisent une configuration vulnérable.
Il est fortement recommandé aux utilisateurs de mettre à jour vers l’une des versions corrigées pour atténuer les tentatives d’exploitation potentielles. Si la correction immédiate n’est pas une option, la société conseille de mettre à jour les applications concernées vers une version fixe ou de les désactiver complètement.
Il convient de noter qu’une faille critique d’exécution de code à distance dans Atlassian Confluence (CVE-2021-26084, score CVSS : 9,8) a été activement militarisée l’année dernière pour installer des mineurs de crypto-monnaie sur des serveurs compromis.