Atlassian отчиталась об устранении критической ошибки в Jira. Уязвимость CVE-2022-0540 с рейтингом 9,9 позволяла обходить аутентификацию платформы безопасности веб-приложений Seraph, и хакер, не прошедший проверку подлинности, мог создать HTTP-запрос и выполнить произвольный код.
Seraph используется в Jira и Confluence для обработки всех запросов через систему подключаемых основных элементов.
Об уязвимости сообщила компания информационной безопасности Viettel Cyber Security. Она затрагивает такие продукты Jira, как:
Jira Core Server, Jira Software Server и Jira Software Data Center: все версии до 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x до 8.20. 6 и 8.21.x,
Jira Service Management Server и Jira Service Management Data Center: все версии до 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x до 4.20.6, и 4.21.х,
исправленные версии Jira и Jira Service Management: 8.13.18, 8.20.6 и 8.22.0, а также 4.13.18, 4.20.6 и 4.22.0.
По словам представителей Atlassian, уязвимость затрагивает также собственные и сторонние приложения, только если они установлены в одной из вышеупомянутых версий Jira или Jira Service Management и используют уязвимую конфигурацию.
Пользователям порекомендовали обновить системы до одной из исправленных версий.
Пользователи уязвимых приложений могут снизить риски, отключив приложение до получения обновлений.
В 2021 году критическая уязвимость удаленного выполнения кода в Atlassian Confluence (CVE-2021-26084) эксплуатировалась для установки майнеров криптовалюты на скомпрометированные серверы.
В начале апреля в Atlassian зафиксировали сбой в работе сервисов Jira и Confluence. Причиной стал некорректный скрипт в процедуре планового обслуживания IT-инфраструктуры, который «непреднамеренно» отключил небольшое количество сайтов и платформ от Atlassian. К середине апреля разработчики заявили, что сбой продлится две недели.