Atlassian a publié des correctifs pour résoudre une faille de sécurité critique dans Jira Service Management Server et Data Center qui pourrait être exploitée par un attaquant pour se faire passer pour un autre utilisateur et obtenir un accès non autorisé à des instances sensibles.
Le vulnérabilité est suivi comme CVE-2023-22501 (score CVSS : 9,4) et a été décrit comme un cas d’authentification cassée avec une faible complexité d’attaque.
« Une vulnérabilité d’authentification a été découverte dans Jira Service Management Server et Data Center qui permet à un attaquant de se faire passer pour un autre utilisateur et d’accéder à une instance Jira Service Management dans certaines circonstances », a déclaré Atlassian. a dit.
« Avec l’accès en écriture à un répertoire d’utilisateurs et les e-mails sortants activés sur une instance Jira Service Management, un attaquant pourrait accéder aux jetons d’inscription envoyés aux utilisateurs avec des comptes qui n’ont jamais été connectés. »
Les jetons, a noté Atlassian, peuvent être obtenus dans l’un des deux scénarios –
- Si l’attaquant est inclus dans les problèmes ou demandes Jira avec ces utilisateurs, ou
- Si l’attaquant est transféré ou accède autrement aux e-mails contenant un lien « Afficher la demande » de ces utilisateurs
Ça aussi mis en garde que si les utilisateurs qui sont synchronisés avec le service Jira via des annuaires d’utilisateurs en lecture seule ou une authentification unique (SSO) ne sont pas affectés, les clients externes qui interagissent avec l’instance par e-mail sont affectés, même lorsque SSO est configuré.
Le fournisseur de services logiciels australien a déclaré que la vulnérabilité a été introduite dans la version 5.3.0 et affecte toutes les versions ultérieures 5.3.1, 5.3.2, 5.4.0, 5.4.1 et 5.5.0. Des correctifs sont disponibles dans les versions 5.3.3, 5.3.3, 5.5.1 et 5.6.0 ou ultérieures.
Atlassian a souligné que les sites Jira hébergés sur le cloud via un atlassian[.]net ne sont pas affectés par la faille et qu’aucune action n’est requise dans ce cas.
La divulgation arrive plus de deux mois après que la société a fermé deux failles de sécurité critiques pour les produits Bitbucket Server, Data Center et Crowd (CVE-2022-43781 et CVE-2022-43782) qui pourraient être exploitées pour obtenir l’exécution de code et invoquer des points de terminaison d’API privilégiés. .
Les failles des produits Atlassian étant devenues un vecteur d’attaque séduisant ces derniers mois, il est crucial que les utilisateurs mettent à niveau leurs installations vers les dernières versions pour atténuer les menaces potentielles.