Atlassian a publi\u00e9 des correctifs pour r\u00e9soudre une faille de s\u00e9curit\u00e9 critique dans Jira Service Management Server et Data Center qui pourrait \u00eatre exploit\u00e9e par un attaquant pour se faire passer pour un autre utilisateur et obtenir un acc\u00e8s non autoris\u00e9 \u00e0 des instances sensibles.<\/p>\n
Le vuln\u00e9rabilit\u00e9<\/a> est suivi comme CVE-2023-22501<\/a> (score CVSS : 9,4) et a \u00e9t\u00e9 d\u00e9crit comme un cas d’authentification cass\u00e9e avec une faible complexit\u00e9 d’attaque.<\/p>\n “Une vuln\u00e9rabilit\u00e9 d’authentification a \u00e9t\u00e9 d\u00e9couverte dans Jira Service Management Server et Data Center qui permet \u00e0 un attaquant de se faire passer pour un autre utilisateur et d’acc\u00e9der \u00e0 une instance Jira Service Management dans certaines circonstances”, a d\u00e9clar\u00e9 Atlassian. a dit<\/a>.<\/p>\n “Avec l’acc\u00e8s en \u00e9criture \u00e0 un r\u00e9pertoire d’utilisateurs et les e-mails sortants activ\u00e9s sur une instance Jira Service Management, un attaquant pourrait acc\u00e9der aux jetons d’inscription envoy\u00e9s aux utilisateurs avec des comptes qui n’ont jamais \u00e9t\u00e9 connect\u00e9s.”<\/p>\n Les jetons, a not\u00e9 Atlassian, peuvent \u00eatre obtenus dans l’un des deux sc\u00e9narios –<\/p>\n\n