آسیب‌پذیری بحرانی در سرور و مراکز داده Jira

نرم‌افزار Jira یک نرم‌افزار کاربردی با کاربری آسان به منظور انجام امور کنترل پروژه، توسعه نرم‌افزار و کاربرد‌های گوناگون از این دست می‌باشد.

اخیراً نرم‌افزار جیرا با انتشار یک به‌روزرسانی، یک آسیب‌پذیری بحرانی در Data Center و سرور Jira که با شناسه CVE-2019-11581 شناخته می‌شود را وصله کرد. این آسیب‌پذیری، یک آسیب‌پذیری تزریق قالب سمت سرور در عملکردهای ContactAdministrators و SendBulkMail در Data Center و سرور Jira می‌باشد که ابتدا در نسخه 4.4.0 در آگوست 2011 وجود داشته است. به منظور بهره‌برداری از این آسیب‌پذیری پس از پیکربندی یک سرور SMTP در جیرا، باید فرم تماس با Admin فعال شود (حمله غیرمجاز) یا مهاجم دارای دسترسی Admin باشد (حمله مجاز). در مورد اول مهاجم می‌تواند بدون احراز هویت و در مورد دوم با استفاده از دسترسی Admin از این آسیب‌پذیری بهره‌برداری کند. بهره‌برداری از این آسیب‌پذیری به مهاجم امکان می‌دهد از راه دور کد دلخواه خود را برروی سیستم Jira آسیب‌پذیر اجرا کند. کلیه نسخه‌های Data Center و سرور Jira از نسخه 4.4.0 تا قبل از 7.6.14، از 7.7.0 تا قبل از 7.13.5، از 8.0.0 تا قبل از 8.0.3، از 8.1.0 تا قبل از 8.1.2 و از 8.2.0 تا قبل از 8.2.3 تحت تأثیر این آسیب‌پذیری هستند.

1  مراجع

[1]

[2]

[3]