Atlassian a publi\u00e9 un avertissement de s\u00e9curit\u00e9 concernant une vuln\u00e9rabilit\u00e9 critique dans son logiciel Jira qui pourrait \u00eatre exploit\u00e9e par un attaquant distant non authentifi\u00e9 pour contourner les protections d’authentification.<\/p>\n
Suivi comme CVE-2022-0540<\/strong><\/a>, la faille est not\u00e9e 9,9 sur 10 sur le syst\u00e8me de notation CVSS et r\u00e9side dans le framework d’authentification de Jira, Jira Seraph. Khoadha de Viettel Cyber \u200b\u200bSecurity a \u00e9t\u00e9 cr\u00e9dit\u00e9 d’avoir d\u00e9couvert et signal\u00e9 la faille de s\u00e9curit\u00e9.<\/p>\n “Un attaquant distant non authentifi\u00e9 pourrait exploiter cela en envoyant une requ\u00eate HTTP sp\u00e9cialement con\u00e7ue pour contourner les exigences d’authentification et d’autorisation dans les actions WebWork \u00e0 l’aide d’une configuration affect\u00e9e”, Atlassian c’est not\u00e9<\/a>.<\/p>\n La faille affecte les produits Jira suivants\u00a0:<\/p>\n Les versions fixes de Jira et Jira Service Management sont 8.13.18, 8.20.6 et 8.22.0 et 4.13.18, 4.20.6 et 4.22.0.<\/p>\n Atlassian a \u00e9galement not\u00e9 que la faille n’affecte les applications propri\u00e9taires et tierces que si elles sont install\u00e9es dans l’une des versions Jira ou Jira Service Management susmentionn\u00e9es et qu’elles utilisent une configuration vuln\u00e9rable.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646124018_583_Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.png\")
<\/a><\/div>\n\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n